使用 Azure Blob 儲存體 和 JavaScript 建立和使用帳戶 SAS 權杖

本文示範如何建立並使用帳戶 SAS 權杖，藉此使用適用於 JavaScript 的 Azure Blob 儲存體用戶端程式庫 v12。 連線之後，您的程式碼就可以在 Blob 儲存體服務的容器、Blob 和功能上運作。

範例程式碼片段可在 GitHub 中以可執行的 Node.js 檔案形式來取得。

套件 (npm) | 範例 | API 參考 | 程式庫原始程式碼 | 提供意見反應

帳戶 SAS 權杖

帳戶 SAS 權杖是一種 SAS 權杖，可供 Azure 儲存體提供的存取委派。 帳戶 SAS 權杖可讓您存取 Azure 儲存體。 權杖的限制必須在建立權杖時進行定義。 由於具有權杖的任何人都可以用其來存取您的儲存體帳戶，因此您應該使用最嚴格的權限來定義權杖 (該權限仍允許權杖完成所需的工作)。

權杖建立的最佳做法包括限制下列權限：

• 服務：Blob、檔案、佇列、資料表
• 資源類型：服務、容器或物件
• 建立、讀取、寫入、更新和刪除等權限

將必要的相依性新增至您的應用程式

包含建立帳戶 SAS 權杖所需的相依性。

JavaScript

const { 
    BlobServiceClient, 
    generateAccountSASQueryParameters, 
    AccountSASPermissions, 
    AccountSASServices,
    AccountSASResourceTypes,
    StorageSharedKeyCredential,
    SASProtocol 
} = require('@azure/storage-blob');
require('dotenv').config()

取得環境變數以建立共用金鑰認證

使用 Blob 儲存體帳戶名稱和金鑰來建立 StorageSharedKeyCredential。 建立和使用 SAS 權杖時需要此金鑰。

使用儲存體帳戶名稱和帳戶金鑰來建立 StorageSharedKeyCredential。 然後使用 StorageSharedKeyCredential 來初始化 BlobServiceClient。

JavaScript

const constants = {
    accountName: process.env.AZURE_STORAGE_ACCOUNT_NAME,
    accountKey: process.env.AZURE_STORAGE_ACCOUNT_KEY
};
const sharedKeyCredential = new StorageSharedKeyCredential(
    constants.accountName,
    constants.accountKey
);

非同步作業樣板

其餘的範例程式碼片段會假設下列非同步樣板程式碼適用於 Node.js。

JavaScript

async function main() {

    const sasToken = await createAccountSas();

    await useSasToken(sasToken);
}

main()
    .then(() => {
        console.log(`done`);
    }).catch((ex) => {
        console.log(`Error: ${ex.message}`)
    });

建立 SAS 權杖

由於此權杖可以搭配 Blob、佇列、資料表和檔案使用，因此某些設定會比 Blob 選項更廣泛。

1. 建立選項物件。

   SAS 權杖的可用範圍是由 AccountSASSignatureValues 所定義。

   使用 SDK 所提供的下列協助程式函式，為值建立正確的實值型別：

   • AccountSASServices.parse("btqf").toString()：
     • b：Blob
     • t：資料表
     • q：查詢
     • f：檔案
   • resourceTypes: AccountSASResourceTypes.parse("sco").toString()
     • s：服務
     • c：容器 - 例如 Blob 容器、資料表或佇列
     • o：物件 - Blob、資料列、訊息
   • permissions: AccountSASPermissions.parse("rwdlacupi")
     • r：讀取
     • w：寫入
     • d：刪除
     • l：清單
     • f：篩選
     • a：新增
     • c：建立
     • u：更新
     • t：標籤存取
     • p：程序 - 例如處理佇列中的訊息
     • i：設定不變性原則

2. 將物件傳遞至 generateAccountSASQueryParameters 函式以及 SharedKeyCredential，以建立 SAS 權杖。

   在傳回 SAS 權杖之前，請在前面加上查詢字串分隔符號：?。

   JavaScript

   async function createAccountSas() {
   
       const sasOptions = {
   
           services: AccountSASServices.parse("btqf").toString(),          // blobs, tables, queues, files
           resourceTypes: AccountSASResourceTypes.parse("sco").toString(), // service, container, object
           permissions: AccountSASPermissions.parse("rwdlacupi"),          // permissions
           protocol: SASProtocol.Https,
           startsOn: new Date(),
           expiresOn: new Date(new Date().valueOf() + (10 * 60 * 1000)),   // 10 minutes
       };
   
       const sasToken = generateAccountSASQueryParameters(
           sasOptions,
           sharedKeyCredential 
       ).toString();
   
       console.log(`sasToken = '${sasToken}'\n`);
   
       // prepend sasToken with `?`
       return (sasToken[0] === '?') ? sasToken : `?${sasToken}`;
   }
   

3. 妥善保存 SAS 權杖，直到使用為止。

搭配帳戶 SAS 權杖使用 Blob 服務

BlobServiceClient

若要使用帳戶 SAS 權杖，您必須將其與帳戶名稱結合以建立 URI。 傳遞 URI 以建立 blobServiceClient。 擁有 blobServiceClient 之後，您就可以使用該用戶端來存取 Blob 服務。

JavaScript

// connect-with-sas-token.js
const { BlobServiceClient } = require('@azure/storage-blob');
require('dotenv').config()

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
const sasToken = process.env.AZURE_STORAGE_SAS_TOKEN;
if (!accountName) throw Error('Azure Storage accountName not found');
if (!sasToken) throw Error('Azure Storage accountKey not found');

const blobServiceUri = `https://${accountName}.blob.core.windows.net`;

// https://YOUR-RESOURCE-NAME.blob.core.windows.net?YOUR-SAS-TOKEN
const blobServiceClient = new BlobServiceClient(
  `${blobServiceUri}?${sasToken}`,
  null
);

async function main(){
  
  const containerName = 'REPLACE-WITH-EXISTING-CONTAINER-NAME';
  const blobName = 'REPLACE-WITH-EXISTING-BLOB-NAME';

  const timestamp = Date.now();
  const fileName = `my-new-file-${timestamp}.txt`;

  // create container client
  const containerClient = await blobServiceClient.getContainerClient(containerName);

  // create blob client
  const blobClient = await containerClient.getBlockBlobClient(blobName);

  // download file
  await blobClient.downloadToFile(fileName);

  console.log(`${fileName} downloaded`);
  
}

main()
  .then(() => console.log(`done`))
  .catch((ex) => console.log(`error: ${ex.message}`));

ContainerClient

JavaScript

// Azure Storage dependency
const {
  ContainerClient
} = require("@azure/storage-blob");

// For development environment - include environment variables
require("dotenv").config();

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error("Azure Storage accountName not found");

// Container must exist prior to running this script
const containerName = `test`;

// SAS token must have LIST permissions on container that haven't expired
const sasToken = process.env.AZURE_STORAGE_SAS_TOKEN;

// Create SAS URL
const sasUrl = `https://${accountName}.blob.core.windows.net/${containerName}?${sasToken}`;

async function main() {
  try {
    // create container client from SAS token
    const containerClient = new ContainerClient(sasUrl);

    // do something with containerClient...
    let i = 1;

    // List blobs in container
    for await (const blob of containerClient.listBlobsFlat()) {
        console.log(`Blob ${i++}: ${blob.name}`);
    }   
    
  } catch (err) {
    console.log(err);
    throw err;
  }
}

main()
  .then(() => console.log(`done`))
  .catch((ex) => console.log(ex.message));

BlobClient

JavaScript

// Azure Storage dependency
const { BlockBlobClient } = require("@azure/storage-blob");

// For development environment - include environment variables
require("dotenv").config();

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error("Azure Storage accountName not found");

// Container and blob must exist prior to running this script
// SAS token must have READ permissions on blob that haven't expired
const containerName = `test`;
const blobName = `my-text-file.txt`;

// Create SAS URL
const sasToken = process.env.AZURE_STORAGE_SAS_TOKEN;
const sasUrl = `https://${accountName}.blob.core.windows.net/${containerName}/${blobName}?${sasToken}`;

// Utility function to convert a Node.js Readable stream into a Buffer
async function streamToBuffer(readableStream) {
  return new Promise((resolve, reject) => {
      const chunks = [];
      readableStream.on('data', (data) => {
          chunks.push(data instanceof Buffer ? data : Buffer.from(data));
      });
      readableStream.on('end', () => {
          resolve(Buffer.concat(chunks));
      });
      readableStream.on('error', reject);
  });
}

async function main(){

  // Create a blob client from SAS token
  const client = new BlockBlobClient(sasUrl);

  // Get blob url
  console.log(`blob.url: ${client.url}`);

  // Download file contents
  const result = await client.download();
  const content = await streamToBuffer(result.readableStreamBody);

  // Get results
  return content.toString();
}

main().then((result) => console.log(result)).catch((ex) => console.log(ex.message));

dotenv 套件可用來從 .env 檔案讀取您的儲存體帳戶名稱。 此檔案不應簽入原始檔控制。

另請參閱

• SAS 權杖的類型
• 共用存取簽章的運作方式
• API 參考
• 程式庫原始程式碼
• 提供意見反應