Как обслуживать клиентский запрос для хранилища BLOB-объектов после ротации ключей в Azure

Question

У меня есть хранилище BLOB-объектов с некоторыми ресурсами. Я предоставляю токены SAS клиентам, и каждый токен создается только для определенного большого двоичного объекта для клиента. Через некоторое время я хочу повернуть ключи своей учетной записи, поэтому все токены реальных клиентов будут признаны недействительными (у клиентов нет ключа учетной записи, у них есть только токен).

Мне было интересно, если у кого-то был похожий случай, когда при использовании REST API для хранилища Azure приходится предоставлять новые маркеры SAS клиентам после ротации ключей. Я знаю, что в этой ситуации клиент получит 403 Unauthorize, поэтому один из вариантов - отправить другой запрос на новый токен, а затем повторить запрос на ресурс.

Или, может быть, я мог бы отправить обратно 301 код http Moved и ссылку для конечной точки REST, которая генерирует новый токен, таким образом, клиенту не нужно было бы иметь дополнительное знание о другой конечной точке.

У кого-нибудь есть опыт вращения токенов?

Answer 1

Как упоминалось в комментарии, поскольку ваши клиенты имеют прямой доступ к BLOB-объекту, вы не узнаете, получили ли они ошибку 403. Если они не сообщат вам об этом.

Если это допустимо, вы можетевзгляните на Авторизуйте доступ к BLOB-объектам и очередям Azure с помощью Azure Active Directory , когда он настроен, даже если вы поворачиваете ключи учетной записи, клиент также может получить доступ к хранилищу.Но эта функция может быть применима как минимум к уровню контейнера, а не к уровню BLOB-объекта, не уверен, что это приемлемо.