OSS提供JS SDK方式可以让用户直接在前端页面中嵌入js包直接操作OSS，但是该方式操作OSS最容易出现的问题即是AccessKeyId和AccessKeySecret的泄露导致被恶意访问的情况。因此提供了STS的方式动态获取token操作OSS，随之而来带来了整个业务逻辑的复杂度。今天在这里给大家介绍STS方式进行断点续传的实践方法。

基本概念

1. OSS Javascript SDK
OSS提供了海量、安全、低成本、高可靠的云存储服务，因此该产品最基本的功能即是实现将客户端的资源上传至OSS。OSS底层提供了与平台无关的RESTful API接口，但是该接口需要用户自行实现拼接发到OSS服务器的请求包以及签名参数，对于客户的技术水平提出了较高的要求。
因此OSS提供了各种语言的SDK帮助用户较方便的接入OSS并实现与OSS服务器端的对接操作，详细的SDK列表请参考 OSS SDK 列表，其中绝大多数的SDK均是服务器端的SDK，是无法直接在前端页面中使用的。而Javascript SDK包括浏览器应用和node.js两种方式，浏览器应用即可以实现前端页面直接操作OSS，避免增加应用服务器的负载压力。

2. 断点续传功能
在OSS上传资源的场景中经常会遇到以下场景导致上传失败等问题，对于用户体验较差：

• 上传超过100MB大小的文件；
• 网络条件较差，和OSS的服务器之间的链接经常断开；
• 上传文件需要实时掌握上传进度；
• 业务逻辑需要断点续传。

因此OSS提供了断点续传的方法帮助用户改善该场景。断点续传的方法主要是通过checkpoint和分块上传的接口实现的断点续传。
分块上传是SDK将用户待上传的完整文件分成若干个分片后分别上传，然后上传完成后验证各个分块的etag保证数据正确性后进行合并完成的。因此分块上传的逻辑主要包括：
InitiateMultipartUpload（生成UploadId并设置Object的HTTP头）->UploadPart（上传分块，可并行上传）->CompleteMultipartUpload（根据part列表验证每个part的有效性后合并为完整的Object）。
断点续传即是在progress参数中将断点信息抛出记录在checkpoint变量中。后续续传时即将之前记录的checkpoint信息重新传入multipartUpload接口即可以实现，对应的demo请参考：

var co = require('co');
var OSS = require('ali-oss')
var client = new OSS({region: '<Your region>',accessKeyId: '<Your AccessKeyId>',accessKeySecret: '<Your AccessKeySecret>',bucket: 'Your bucket name'
});
co(function* () {var checkpoint;// retry 5 timesfor (var i = 0; i < 5; i++) {var result = yield client.multipartUpload('object-key', 'local-file', {checkpoint: checkpoint,progress: function* (percentage, cpt) {checkpoint = cpt;}});console.log(result);break; // break if success} catch (err) {console.log(err);}}
}).catch(function (err) {console.log(err);
});

注意：Javascript sdk对于上述的三个部分做了封装，因此对于用户来讲不需要分步操作，而仅需要统一调用multipartUpload接口即可实现。

3. STS的Token功能
OSS SDK均需要通过AccesssKeyId和AccessKeySecret授权后才可以访问OSS，而AccesssKeyId和AccessKeySecret包括三种方式，分别是：

• 主账号AccesssKeyId和AccessKeySecret；
• 子账号AccesssKeyId和AccessKeySecret；
• STS动态生成的AccesssKeyId和AccessKeySecret和AccessKeyToken。

其中前两种方式对应的参数均是固定的，如果直接写在前端页面中会导致泄露的风险导致OSS被恶意操作；而第三种STS动态生成的Token则具有时间戳，仅有在时间戳有效时间内才可以使用。能够提升用户操作安全性。
STS的token一般可以前端代码向应用服务器请求得到结果，也可以使用JS SDK直接操作，demo请参考：

var OSS = require('ali-oss');
var STS = OSS.STS;
var co = require('co');
var sts = new STS({accessKeyId: '<子账号的AccessKeyId>',accessKeySecret: '<子账号的AccessKeySecret>'
});
co(function* () {var token = yield sts.assumeRole('<role-arn>', '<policy>', '<expiration>', '<session-name>');var client = new OSS({region: '<region>',accessKeyId: token.credentials.AccessKeyId,accessKeySecret: token.credentials.AccessKeySecret,stsToken: token.credentials.SecurityToken,bucket: '<bucket-name>'});
}).catch(function (err) {console.log(err);
});

注意：使用STS的token创建OSSClient对象必须同时提供accessKeyId、accessKeySecret和stsToken，否则将报错。

JS SDK使用STS方式实现断点续传

STS的token有时间戳，当超过时间戳会导致后续的请求将无法正常请求，在断点续传时就可能出现当token已经过期后仍然需要上传的操作。为解决该问题我们建议在multipartUpload抛出的yichan异常中获取该异常重新获取token进行续传。最佳实践的代码请参考：

<!DOCTYPE html>
<html>
<head><script src="http://gosspublic.alicdn.com/aliyun-oss-sdk-4.10.0.min.js"></script>
</head>
<body><input type="file" id="uploadFile" /><script type="text/javascript">stsAccessKeyId = ""stsAccessKeySecret = ""stsToken = ""var checkpoint_temp;function multipartUploadWithSts(storeAs, file, cpt) {OSS.urllib.request("http://localhost/sts-server/sts.php", {method: 'GET'}, function (err, response) {if (err) {return alert(err);}try {result = JSON.parse(response);} catch (e) {errmsg = 'parse sts response info error: ' + e.message;return alert(errmsg);}console.log(result)client = new OSS.Wrapper({accessKeyId: result.AccessKeyId,accessKeySecret: result.AccessKeySecret,stsToken: result.SecurityToken,bucket: 'dongchics',endpoint: 'http://oss-cn-hangzhou.aliyuncs.com'});multitest(client, storeAs, file, cpt);})};var upload = function () {var client = null;var file = document.getElementById('uploadFile').files[0];console.log(file);var storeAs = file['name'];console.log("upload file=",file)multipartUploadWithSts(storeAs, file)};function multitest (ossClient, storeAs, file, cpt) {//console.log(file.name + ' => ' + storeAs);var checkpoint_temp;if (cpt) {console.log("multitest with cpt")ossClient.multipartUpload(storeAs, file,{parallel: 2,checkpoint: cpt,progress: function* (percent, cpt) {console.log('Progress: ' + percent);checkpoint_temp = cpt}}).then(function (result) {console.log(result);}).catch(function (err) {console.log(err);multipartUploadWithSts(storeAs, file, checkpoint_temp)});} else {console.log("multitest without cpt")ossClient.multipartUpload(storeAs, file,{parallel: 2,progress: function* (percent, cpt) {console.log('Progress: ' + percent);checkpoint_temp = cpt}}).then(function (result) {console.log(result);}).catch(function (err) {console.log(err);multipartUploadWithSts(storeAs, file, checkpoint_temp)});}};document.getElementById('uploadFile').onchange = upload;</script>
</body>
</html>

这段demo主要包括一下几部分：

1.前端向服务器端发起请求sts的token的请求用户初始化OSSClient对象。而服务器端收到该请求后返回AccessKeyId、AccessKeySecret、SecurityToken和Expiration，这里使用的STS的php sdk实现的，代码可以参考：

<?phpinclude_once 'aliyun-php-sdk-core/Config.php';use Sts\Request\V20150401 as Sts;function read_file($fname){$content = '';if (!file_exists($fname)) {echo "The file $fname does not exist\n";exit (0);}$handle = fopen($fname, "rb");while (!feof($handle)) {$content .= fread($handle, 10000);}fclose($handle);return $content;}$content = read_file('./config.json');$myjsonarray = json_decode($content);$accessKeyID = $myjsonarray->AccessKeyID;$accessKeySecret = $myjsonarray->AccessKeySecret;$roleArn = $myjsonarray->RoleArn;$tokenExpire = $myjsonarray->TokenExpireTime;$policy = read_file($myjsonarray->PolicyFile);$iClientProfile = DefaultProfile::getProfile("cn-hangzhou", $accessKeyID, $accessKeySecret);$client = new DefaultAcsClient($iClientProfile);$request = new Sts\AssumeRoleRequest();$request->setRoleSessionName("client_name");$request->setRoleArn($roleArn);$request->setPolicy($policy);$request->setDurationSeconds($tokenExpire);$response = $client->doAction($request);$rows = array();$body = $response->getBody();$content = json_decode($body);$rows['status'] = $response->getStatus();if ($response->getStatus() == 200){$rows['AccessKeyId'] = $content->Credentials->AccessKeyId;$rows['AccessKeySecret'] = $content->Credentials->AccessKeySecret;$rows['Expiration'] = $content->Credentials->Expiration;$rows['SecurityToken'] = $content->Credentials->SecurityToken;}else{$rows['AccessKeyId'] = "";$rows['AccessKeySecret'] = "";$rows['Expiration'] = "";$rows['SecurityToken'] = "";}echo json_encode($rows);return;
?>

2.在multitest方法中实现断点续传，其中cpt用来判断是否已有断点信息，如果没有该信息则初始分块上传方法，并将断点信息存放在checkpoint_temp变量中；如果有该信息则会将checkpoint_temp作为参数传入multipartUpload方法。

3.在catch异常中重复调用断点续传方法以保证token过期后继续上传。

注意：JS SDK封装的multipartUpload接口实现了并行分块上传，因此当第一个由于token过期出现的403错误后并不会立刻catch到该err，而是需要一段时间才可以捕获该异常，实际测试其延迟在网速正常的情况下为秒级或者分钟级别。