1

我有一些资源的 blob 存储。我向客户端提供 SAS 令牌,并且每个令牌仅针对客户端的特定 blob 生成。一段时间后,我想轮换我的帐户密钥,因此所有实际客户的令牌都将失效(客户没有帐户密钥,他们只有令牌)。

我想知道是否有人有类似的情况,当使用 REST API 到 Azure 存储时,必须在密钥轮换后向客户端提供新的 SAS 令牌。我知道在这种情况下客户端会得到 403 Unauthorize,所以一种选择是发送另一个新令牌请求,然后重试资源请求。

或者,也许我可以发回 301 Moved http 代码和重新生成新令牌的 REST 端点的链接,因此客户端不必了解关于另一个端点的额外知识。

有没有人有像这样的代币轮换经验?

4

1 回答 1

0

正如评论中提到的,由于您的客户直接访问 blob,除非他们告诉您相同的情况,否则您不会知道他们是否收到 403 错误。

如果可以接受,您可以查看Authorize access to Azure blobs and queues using Azure Active Directory,配置完成后,即使您轮换帐户密钥,客户端也可以访问存储。但是这个特性至少可以应用于容器级别,而不是 blob 级别,不确定它是否可以接受。

于 2019-07-15T06:31:23.710 回答