Как расшифровать файл (зашифрованный с помощью aws KMS) при загрузке с aws S3 через Shrine? - PullRequest
Новая
       28

Как расшифровать файл (зашифрованный с помощью aws KMS) при загрузке с aws S3 через Shrine?

0 голосов
/ 23 апреля 2019

Я использую Shrine в своем приложении Rails для загрузки файлов в Amazon S3.Некоторые файлы пользователя связаны с соблюдением GDPR, и мне нужно реализовать шифрование на стороне клиента ([Документация Shrine] (https://github.com/shrinerb/shrine/blob/v2.16.0/doc/storage/s3.md#encryption)).). В документах Shrine вы можете видеть информацию для шифрования файлов через AWS KMS, но нет информации о дешифровании.

Как мне расшифровать файл, когда я скачиваю его с aws s3?

Вот мой код:

config / initializers / shrine.rb - В этом месте яукажите конфиги для Shrine. 

require 'shrine'
require 'shrine/storage/s3'
require 'shrine/storage/file_system'

class Shrine
  plugin :activerecord

  class << self
    Aws::S3::Encryption::Client.extend Forwardable
    Aws::S3::Encryption::Client.delegate(
        [:head_object, :get_object, :config, :build_request] => :client
    )

    def s3_options_encrypted
      {
          prefix:            'encrypted',
          region:            ENV['AWS_REGION'],
          bucket:            ENV['AWS_BUCKET_NAME'] ,
          endpoint:          ENV['AWS_ENDPOINT'],
          access_key_id:     ENV['AWS_ACCESS_KEY_ID'],
          secret_access_key: ENV['AWS_SECRET_ACCESS_KEY'],
          upload_options:    { acl: 'private' },
          client:            Aws::S3::Encryption::Client.new(kms_key_id: ENV['KMS_KEY_ID'])
      }
    end

    def storages
      {
        cache: Shrine::Storage::FileSystem.new('public', prefix: 'cache_files'),
        encrypted: Shrine::Storage::S3.new(**s3_options_encrypted)
      }
    end
  end
end

models / document.rb - Model 

class Document < ApplicationRecord
  include DocumentsUploader::Attachment.new(:file, {store: :encrypted})
end

controllers / downloads_controller.rb - в этом месте я загружаю файл и мне нужно его расшифровать. 

class DownloadsController < ApplicationController
  def documents
    document = Document.find(id) if Document.exists?(id: params[:id])

    if document.nil? || !document&.file
      redirect_to root_path and return
    end

    temp_file = document.file.download
    name      = "#{document.name}.pdf"
    type      = 'application/pdf'

    send_file temp_file, filename: name, type: type, disposition: 'attachment'
  end
end

1 Ответ

0 голосов
/ 25 апреля 2019

Разработчик Shrink Framework помог мне решить проблему в этом чате

Это была ошибка в делегации. Я делегировал [:head_object, :get_object, :config, :build_request] на :client, но я должен делегировать [:head_object, :delete_object, :config, :build_request]. Правильная делегация выглядит так: 

Aws::S3::Encryption::Client.delegate(
        [:head_object, :delete_object, :config, :build_request] => :client
    )

Aws::S3::Encryption::Client#get_object уже реализован, и это то, что делает дешифрование, поэтому добавим, что делегат #get_object будет использовать обычный Aws::S3::Client#get_object, который не выполняет дешифрование.

При этом загрузка автоматически расшифровывается.

...