对于使用S3签名版本2签名的URL,时间限制似乎是2038年Unix时代的结束,但是对于签名版本4,该限制为7天,因为V4中的签名密钥本身的最大有效性为7天。
如果您不熟悉V2和V4之间的区别,那么一种区分它们的简单方法是V2 URL包含
&Expires=而V4 URL使用
&X-Amz-Expires=。
但是重要的是,如果您停用了用于对URL进行签名的IAM用户凭据(访问密钥/秘密),则使用这两种算法的签名都会立即失效……由于凭据的轮换,您应该在某些时候计划这样做被认为是最佳做法(或者,如果不是这样,则是因为您的凭据有一天可能被泄露,或者被怀疑已经泄露)。
因此,不应将S3对象的签名URL视为永久的。
如果不需要公开对象,那么下一个最佳方法是让您的应用程序(或您控制的任何HTTP端点)验证用户的下载对象的权限(可能基于应用程序的cookie),然后生成短暂的签名URL并返回重定向。浏览器应该立即跟随它并获取对象,但不要缓存重定向,因为您已经表明原始URL应该用于带有
302响应代码的后续请求。
应用程序的HTTP响应中值得注意的标头如下所示:
HTTP/1.1 302 FoundLocation: https://...generated-signed-url-here...
