云存储密钥严禁硬编码,须通过环境变量、.env文件(严格限制访问)、容器Secret等方式安全注入,并校验非空;不同云平台密钥机制差异大,需匹配region、签名版本及endpoint;临时密钥应缓存于Redis并提前刷新。
云存储密钥不能硬编码在 PHP 代码里
直接把 AWS_ACCESS_KEY_ID 或 ALIYUN_OSS_ACCESS_KEY_SECRET 写死在 .php 文件中,等于把家门钥匙贴在防盗门上。一旦代码泄露(比如误传 GitHub、被扫描到公开目录),密钥立刻失效,还可能产生高额账单。
正确做法是把密钥抽离到运行环境之外:
- 用系统环境变量:在 Web 服务器(如 Nginx/Apache)或 PHP-FPM 配置中注入
AWS_ACCESS_KEY_ID=xxx,PHP 中用getenv('AWS_ACCESS_KEY_ID')读取 - 用独立配置文件(如
.env):配合vlucas/phpdotenv加载,但必须确保该文件不在 Web 根目录下(例如放在/var/www/config/.env),且 Web 服务器明确禁止访问.env后缀 - 容器场景下优先使用 Secret 挂载(Docker/K8s),避免任何文件落地
PHP SDK 初始化时别用明文拼接密钥
有些老教程会写:$client = new OssClient($accessKeyId, $accessKeySecret, $endpoint) —— 这本身没错,但前提是这两个参数已从安全渠道获取。问题常出在“怎么拿到它们”这一步。
常见错误包括:
立即学习“PHP免费学习笔记(深入)”;
- 从数据库查密钥(除非数据库本身有 RBAC+加密字段,否则纯属转移风险)
- 用
file_get_contents('./config/keys.json')读本地 JSON,但没校验文件权限(应为600)或路径是否可被 Web 访问 - 在
__construct()中直接调用$_SERVER取值,却没判断是否存在,导致空密钥引发InvalidAccessKeyId错误
建议加一层兜底校验:
if (!$accessKeyId || !$accessKeySecret) {
throw new RuntimeException('Cloud storage credentials missing from environment');
}
不同云厂商的密钥使用差异要留意
虽然都是“Access Key”,但各平台对密钥用途、有效期和权限粒度控制差异很大:
- AWS IAM 用户密钥默认无自动轮换,需手动创建新密钥并更新;而阿里云 OSS 的
AccessKey支持控制台一键禁用旧密钥 - Tencent COS 要求密钥配合
SecretId/SecretKey使用,且签名算法依赖当前时间戳,服务器时间偏差 >15 分钟会导致RequestExpired - MinIO 自建对象存储允许完全关闭密钥认证(
--anonymous模式),但生产环境绝不能开
PHP SDK 初始化前务必确认:$region 是否匹配(如 COS 的 ap-guangzhou)、$signatureVersion 是否与服务端兼容(OSS v4、COS v2、AWS v4)、以及 endpoint 是否带协议(https:// 必须显式写出)。
临时密钥比长期密钥更安全,但 PHP 里容易漏刷新
用 STS(Security Token Service)签发的临时密钥(含 SecurityToken 字段)有效期通常为数小时,适合前端直传或短生命周期任务。PHP 后端调用 STS 获取临时凭证本身没问题,但要注意:
- 缓存临时密钥时不能简单用
file_put_contents()存本地文件——并发请求可能覆盖彼此的ExpiredTime - 推荐用 Redis 缓存,key 命名为
sts:bucket_name:timestamp,value 包含完整凭证 +Expiration时间戳,并设置过期时间略短于凭证本身(如提前 60 秒) - 每次调用前先检查缓存是否存在且未过期,过期则重新请求 STS,避免出现
ExpiredToken报错中断上传
临时密钥不是一劳永逸的方案,它的安全收益取决于你有没有真正管住“怎么拿”和“怎么续”。
