STS认证接入流程

前提条件


在开始接入之前：

• 请阅读基本概念一文，熟悉智能云相册的相关概念；
• 开通智能云相册和相关服务，且创建PhotoStore。

1. 客户端（移动设备）登录到业务服务器，图中的步骤1，
2. 业务服务器请求阿里云资源访问控制服务（RAM），获取能访问智能云相册服务的STS凭证（图中步骤2和3），并将STS凭证和其他信息返回给客户端（图中步骤4），
3. 客户端凭步骤4获取的STS凭证访问智能云相册服务，
4. 智能云相册服务内部使用了阿里云对象存储服务，用于存储用户上传的照片。智能云相册会提供临时密钥给客户端用于访问OSS，客户端需要将文件上传到OSS或从OSS中下载照片。

• 步骤1和2类似于上述例子中，员工（客户端）从公司行政部（业务服务器）领取进入公司的门卡。行政部首先确认前来申请门卡的人是否为本公司员工，确认通过后行政部再从写字楼的物业（RAM服务）那里申请一张只能进入您公司的门卡（即STS凭证）。
• 步骤5和6类似于上述例子中，员工持有有效期内的门卡自由进出公司和使用被授权的资源。
• 类似于上述例子中的门卡包含了使用该门卡的员工信息、有效期等信息。在阿里云资源访问控制服务（RAM）颁发的访问凭证同样也包含该访问凭证的有效期、能访问的资源以及被授予的客户端（RoleSessionName）。因此业务服务器在第2步申请访问凭证的时候需要控制好访问凭证的的权限范围，尽量满足最小权限法则。

1. 在您的业务服务器端，使用阿里云访问控制服务（RAM）来为客户端申请访问智能云相册的临时访问凭证（STS Token），同时返回客户端需要的其他信息，包括：PhotoStore的名称和服务地域等。
2. 在您客户端，使用第1步获取到的访问凭证来使用智能云相册提供的各种功能，比如，创建照片、获取照片列表等。相关功能的使用方法，请参考API和SDK使用手册。