Wybierz, kiedy używać sygnatur dostępu współdzielonego

  • {liczbaMinut} minut

Użyj SAS, jeśli chcesz zapewnić bezpieczny dostęp do zasobów na koncie magazynowym dla każdego klienta, który w przeciwnym razie nie miałby do nich uprawnień.

Typowy scenariusz, w którym sygnatura dostępu współdzielonego jest przydatna, to usługa, w której użytkownicy odczytują i zapisują własne dane na koncie przechowywania. W scenariuszu, w którym konto magazynowe przechowuje dane użytkownika, istnieją dwa typowe wzorce projektowe:

  • Klienci przesyłają i pobierają dane za pośrednictwem frontowego serwera proxy, który wykonuje uwierzytelnianie. Ta usługa proxy frontowa ma zaletę zezwalania na walidację reguł biznesowych, ale w przypadku dużych ilości danych lub transakcji o dużym wolumenie danych tworzenie usługi, która może skalować się, aby sprostać zapotrzebowaniu, może okazać się kosztowna lub trudna.

    Diagram scenariusza: usługa proxy frontend

  • Uproszczona usługa uwierzytelnia klienta zgodnie z potrzebami, a następnie generuje sygnaturę dostępu współdzielonego. Gdy aplikacja kliencka otrzyma sygnaturę dostępu współdzielonego, może uzyskać dostęp do zasobów konta magazynu bezpośrednio z uprawnieniami zdefiniowanymi przez sygnaturę dostępu współdzielonego i interwałem dozwolonym przez sygnaturę dostępu współdzielonego. Udostępniona Sygnatura Dostępu ogranicza potrzebę przekierowania wszystkich danych za pośrednictwem usługi serwera proxy front-endu.

    Diagram scenariusza: usługa dostawcy SAS

Wiele rzeczywistych usług może używać hybrydowego z tych dwóch podejść. Na przykład niektóre dane mogą być przetwarzane i weryfikowane za pośrednictwem serwera proxy front-end, podczas gdy inne dane są zapisywane i/lub odczytywane bezpośrednio przy użyciu SAS.

Ponadto sygnatura dostępu współdzielonego jest wymagana do autoryzowania dostępu do obiektu źródłowego w ramach operacji kopiowania w niektórych scenariuszach:

  • Podczas kopiowania obiektu blob do innego, znajdującego się na innym koncie magazynu, należy użyć SAS, aby autoryzować dostęp do źródła. Możesz opcjonalnie użyć sygnatury dostępu współdzielonego, aby również autoryzować dostęp do obiektu blob na miejscu docelowym.

  • Podczas kopiowania pliku do innego pliku znajdującego się na innym koncie magazynowym, należy użyć SAS (Shared Access Signature) do autoryzacji dostępu do pliku źródłowego. Opcjonalnie możesz użyć sygnatury dostępu współdzielonego (SAS), aby również autoryzować dostęp do pliku docelowego.

  • Podczas kopiowania obiektu blob do pliku lub pliku do obiektu blob należy użyć SAS, aby autoryzować dostęp do obiektu źródłowego, nawet jeśli obiekt źródłowy i docelowy znajdują się na tym samym koncie magazynowym.