我有一些资源的Blob存储。我向客户端提供SAS令牌,并且每个令牌仅针对客户端的特定Blob生成。一段时间后,我要旋转我的帐户密钥,因此所有实际客户的令牌都将失效(客户端没有帐户密钥,他们只有令牌)。
我想知道在使用REST API到Azure存储时是否有人有类似的情况,在密钥轮换后必须向客户端提供新的SAS令牌。我知道在这种情况下,客户端将获得403 Unauthorize,因此一种选择是发送另一个新令牌请求,然后重试资源请求。
或者也许我可以发回301移动的http代码和REST端点的链接,以重新生成新令牌,因此客户端不必具有关于阳极端点的其他知识。
有人有像这样的令牌轮换经验吗?
答案 0 :(得分:0)
如评论中所述,由于您的客户直接访问Blob,除非您告诉您相同的信息,否则您不会知道他们是否收到403错误。
如果可以接受的话,您可以看一下Authorize access to Azure blobs and queues using Azure Active Directory,在对其进行配置后,即使您旋转帐户密钥,客户端也可以访问存储。但是此功能至少可以应用于容器级别,而不是blob级别,不确定是否可以接受。