How to upload file to Storage without login

In order to upload file to Storage without login google account, we have to implement policy document. After that, user can upload file to Storage from web page via Form directly.

There are 4 rough steps:
  1. Service Account p12 file, it can be created at GCP Console 
  2. Uploading object metadata, including
    1. Bucket
    2. Key
    3. ACL
    4. Expiration, for more information: Policy Document
  3. encryption
  4. fill above info to Form, upload file

Step One:p12 file
After login GCP Console, you can generate p12 file via API Manager -> Credentials -> Create credentials





Only Storage Admin assigned because we utilize Storage service only. If you need more permissions for other services, please refer available roles.
Please save your p12 file properly because there is only one chance to download the file.

Step Two:uploading object metadata
According to Policy Document, JSON format is required for uploading object metadata. There are two major parts: 
  1. expiration:policy document expiration time (ISO8601 format), when sign a policy document, it required to specify available period and it will expired after specified time.
  2. conditions:metadata to describe uploading object 
example:
{"expiration":"2017-04-24T11:11:51+02:00", 
 "conditions":[{"bucket":"upload"}, {"key":"myimg.png"}]}

PHP Sample Code



Step Three:encryption
Please follow encryption order carefully and confirm p12 file path is correct.
  1. policy must be utf-8 encoded => policy_utf
  2. Base64 encode (policy_utf) => policy_base64
  3. SHA256( RSA (Secret Key, policy_base64)) => singed
  4. Base64 encode (signed) => signature
PHP Sample Code


Step Four:fill above info into Form, upload file
After above steps, policy (policy_base64) and signature have been generated. Those two informations must be filled into Form. Besides, for metadata specified in policy conditions, it must be filled into Form also. It is very important and it will cause uploading fail if those informations do not fill into Form.
PHP Sample Code



  • action:fill <bucket>.storage.googleapis.com, remember to replace <bucket> name, such as upload.storage.googleapis.com
  • method:POST 
  • enctype:multipart/form-data 
  • GoogleAccessId:replace your service account created in step one

github link

留言

張貼留言

這個網誌中的熱門文章

GCP DevOps 實作系列二 設定Jenkins

圖片
接續  GCP DevOps 實作系列一 建立執行個體 ,接下來要進行 Jenkins 的設定 [步驟二 設定 Jenkins] 第一次使用 Jenkins 時,可透過畫面指示找到一個預設的密碼,位置在 /var/lib/jenkins/secrets/initialAdminPassword *可透過  GCP DevOps 實作系列一  中提到的 SSH 連線到主機後取得 選推薦安裝 接下來就會進入安裝畫面 接著建立使用者 完成後就可以開始使用 Jenkins 由於這次的範例是使用 BitBucket 管控程式碼,為了讓 Jenkins 能夠與 BitBucket 溝通我們必須要安裝對應的 plugin,選擇 管理 Jenkins > 管理外掛程式 進入外掛程式管理後,選擇 可用的 > 輸入過濾條件 bitbucket > Bitbucket plugin 並直接安裝 安裝好 plugin 之後,可以嘗試建立一個 job 確認 Jenkins 是否可以正常運作。 首先,點選新增作業。進入新增作業頁面後,給予一個工作名稱 first_job (可自取) 並選擇 建置 Free-Style 軟體專案 接下來在建置段落中選擇執行 Shell  並鍵入 docker run hello-world 這個測試工作的目的只是確認 Jenkins 可以正常運作並執行 docker 指令,該指令會嘗試將 hello-world 映像檔 (image) 運行在容器 (Container) 中。 儲存後,點選儀表板左側的馬上建置,first_job 中所指定的工作就會被執行。 點選已執行任務後可在 Console Output 中看到 log,我們會發現 docker 發現沒有 hello-world 這個映像檔後,會自動抓取。成功下載後再建立容器運行映像檔 接下來要產出一組 RSA key 以供 Jenkins 能夠連到 BitBucket 取得程式碼 1. 透過 ssh 連到主機 2. 執行  sudo su jenkins 切換成 jenkins 使用者 3. cd ~ ,移動到家目錄
閱讀完整內容

如何新增使用者並開放 sudo 權限以及取消輸入密碼的要求

測試作業環境:GCE ubuntu 16.04 LTS 映像檔 如果想在 ubuntu 中加入一個新的 user,可以利用 sudo useradd [使用者名稱] 新增 例如新增一個使用者 james: sudo useradd james 執行上面指令後 james 就會被新增到系統中,之後如果需要執行 sudo 的指令,可以把 james 轉成 sudoer,最簡易的做法是直接把 james 指定為 sudo 的群組成員如下 sudo adduser james sudo 如果想確定是否加入成功可以執行下列指令,該指令會列出 james 所隸屬的群組 (sudo) groups james 成功加入 sudo 群組後,當執行 sudo 命令時,每次系統都會提示需要輸入密碼,相當的麻煩。如果你需要利用這個使用者來執行一些背景工作的時候也會相當困擾。有兩種修改方式 1. 修改 /etc/sudoers 檔案,開啟檔案後新增一筆權限說明 james ALL=(ALL) NOPASSWD: ALL 2. 如果 /etc/sudoers 有指定參考 /etc/sudoers.d 目錄,則在 /etc/sudoers.d 底下新增一個檔案 james.user 填入以下內容 james ALL=(ALL) NOPASSWD: ALL 修改成功後,之後 james 在使用 sudo 指定的時候就不需要再輸入密碼
閱讀完整內容

如何在不登入的情況下開放使用者上傳檔案到 Storage

圖片
找了好久終於找到  Policy Document  能夠在不登入 Google Account 的情況下,讓使用者能夠直接在網頁中透過 Form 上傳檔案到 Storage。 以下將分成四個部分來說明,先大致敘述一下流程 準備 Service Account p12 檔,可在 GCP Console  建立 準備要上傳物件的描述內容,包括 Bucket Key ACL Expiration 等等,其他內容可以參考  Policy Document 加密 將資訊填入 Form 後,上傳檔案 第一步:準備p12檔 登入  GCP Console  後可在 API 管理員 -> 憑證 -> 建立憑證 連結裡建立需要的憑證檔案 由於我們只需要用到 Storage 的功能,所以再分配角色權限上只需要分配對應的權限即可,如果需要用到其他服務則可參考能分配的權限進行分配。 建立好建立好服務帳戶後,p12檔會自動下載 到本機端。這個檔案只有一次下載機會,請務必保管好。 第二步:準備上傳物件的描述內容 根據  Policy Document  的說明,我們必須使用 JSON 格式來描述要上傳檔案的內容。其中必填的兩大項為  expiration:過期時間 ( ISO8601 格式),當每次簽署  Policy Document  時,需要指定一個有效期限,當超過有效期限,則簽署會失效 conditions:描述上傳檔案內容 範例: {"expiration":"2017-04-24T11:11:51+02:00",   "conditions":[{"bucket":"upload"}, {"key":"myimg.png"}]} PHP Sample Code 第三步:加密 這個步驟要小心注意加密的順序,以及確認 p12 所在位置無誤 policy 必須是 utf-8 編碼 => policy_utf Base64 encode (policy_utf) => policy_
閱讀完整內容