APP上传文件到云端的正确姿势

近几年云存储和CDN的普及给多媒体文件存储和分发带来了诸多便利。如今要上线一个基础功能视频、图片网站，使用CDN厂商提供的服务，转码、存储、分发，甚至简单的访问控制都一站式搞定。想想以前个人站长时代，需要自己加硬盘、买带宽，自己使用ImageMagick和ffmpeg转码?‍♀️，真是酸爽。

云储存带来便利的同时，有很多安全问题往往容易被忽视。前段无人机独角兽大疆创新DJI爆出SSL 密钥和AWS key泄露问题，这使得黑客可以直接访问用户的私有视频内容。更有意思的是，泄露的原因居然是因为大疆把key放在了github上的开源项目的固件firmware中，而且已经这么放了4年，四年……?。这件事有意思的是，发现该密钥的哥们是一名叫做KF的白客，并把这个问题报告给了大疆，准备领取$30000的奖励，还预定了Tesla Model 3, 结果大疆法务把这花小钱就能解决的大事给谈炸了，KF的特斯拉没有了，但是大疆损失的可就不止这点小钱了。喜欢看故事的同学可以移步大疆 VS “白帽子”，到底谁威胁了谁？

如今移动互联网的天下，几乎每个APP都会上传文件到云端。这里，我们谈一下上传文件到云端的错误姿势背后的原因，以及正确姿势是什么样的。

错误的姿势

将云端的key保存在APP，然后APP直接调用接口上传文件。

很惊讶？我们的独角兽公司大疆同学就是这么干的呀。其实，不需要嘲讽大疆，你可以问一下你身边的互联网公司工作的同学，结果会让你更惊讶。

就我了解的情况，走上这条不归路有这几类原因：

1. 创业公司野蛮生长的技术债。
2. 部门墙的原因，有些公司的云端账号可能掌握在客户端开发小组的手里，而客户端同学对于服务器端的安全问题相对欠缺知识背景和敏感度。
3. 程序员偷懒，不走云端标准交互流程，并且有严重的侥幸心理。

正确的姿势

正确的姿势其实也是一句话：

密钥保存在服务器，客户端每次向服务器申请一个一次性的临时token或signature，然后上传文件。

据我们的使用情况看，国内的CDN厂商都支持这种授权三方上传方式。比如又拍云的认证授权，阿里云OSS的授权给第三方上传。

当然，实际的系统不可能这么简单。下面以我们前端时间设计和实施的上传流程为例，介绍我们在设计文件上传时的考量因素：

名词解释：cds, content delivery service, 这是上述流程中唯一自己开发的服务，感谢CDN的普及?

1. 根据我们以往的客户端文件上传监控，客户端上传文件第一次尝试的失败率约为4%（这其实是一个比较可怕的数字，同时你也可以感受一下4G网络的复杂性）。因此，客户端申请上传签名时，可以指定多种类型。在我们的系统中，我们实际使用了两个CDN厂商承载上传请求：阿里OSS和云拍云。默认通过阿里OSS上传，又拍云作为灾备上传。
2. 为了能达到高于CDN厂商之上的可用性，我们使用了两家CDN厂商（又拍云和七牛）进行内容分发。访问每一个文件的完整url地址是可配置的，因此我们可以在任一CDN出现问题的时候，在后台切换CDN。
3. 可能有同学发现了我们使用了不太主流的又拍云。没有什么特殊原因，只是因为给的价格折扣比其他两家要低。
4. 所有的云端数据都保存在阿里OSS，主要是基于阿里OSS可用性是跨可用区的。另一方面，这也实现了云端储存与内容分发的剥离。这意味着我们可以无痛的更换又拍云或者七牛云。
5. 客户端上传文件成功以后，cds会收到一个回调通知，这里我们做了文件内容的合规检查和内容审计。当然，你可以在这里做一些数据挖掘的事情。

小结

他山之石，可以攻玉。据说，大疆犯错的程序员已经被劝（开）退（除）了。如果你所在的公司还存在类似的问题，赶紧行动起来吧。

–EOF–