uniapp微信小程序PC调试时如何安全访问华为云OBS？

一、问题本质剖析：为什么 PC 小程序调试无法直连华为云 OBS？

微信 PC 小程序调试运行于 https://miniprogram.debug 或 https://localhost:xxxx 协议下，而华为云 OBS 的 CORS 白名单策略仅支持显式 HTTPS 域名（如 https://myapp.com），明确拒绝 localhost、动态端口、miniprogram.debug 等调试专用协议。更关键的是：OBS REST API（如 PUT Object）强制要求 V4 签名，而签名需使用 SecretKey —— 该密钥一旦出现在前端代码中，即等同于公开泄露。微信 PC 端对 wx.request 的 Referer 校验、Header 过滤（如禁止 Authorization、X-Amz-Date 等签名头）进一步加剧 403 错误频发。这不是配置疏漏，而是平台安全模型的根本冲突。

二、安全红线共识：密钥零暴露的不可妥协性

• ❌ 禁止硬编码 AK/SK 到 UniApp 源码（含 static/、uniCloud/ 客户端目录）
• ❌ 禁止在小程序端生成完整 V4 签名（因需 SK，且 JS 环境无可信执行边界）
• ❌ 禁止通过「前端计算签名 + 后端校验」变通（仍需前端持有 SK 或可逆推逻辑）
• ✅ 正确范式：签名行为必须发生在服务端可信上下文，且 AK/SK 绝不触达浏览器或小程序运行时

三、分阶段解决方案矩阵（适配调试 → 预发布 → 生产）

四、PC 调试期落地实践：本地代理网关实现

在项目根目录新建 dev-proxy.js：

const express = require('express');
const { createHmac } = require('crypto');
const axios = require('axios');
const app = express();
const PORT = 8081;

// ⚠️ 仅限本地调试！AK/SK 存于环境变量或内存常量
const OBS_CONFIG = {
  ak: 'YOUR_AK_HERE',
  sk: 'YOUR_SK_HERE',
  region: 'cn-north-4',
  bucket: 'your-bucket-name',
  endpoint: 'https://obs.cn-north-4.myhuaweicloud.com'
};

app.use('/api/obs/', async (req, res) => {
  const method = req.method;
  const path = `/` + req.url.split('/api/obs/')[1];
  const date = new Date().toUTCString();
  const payloadHash = 'e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855'; // empty string SHA256
  const canonicalRequest = [
    method,
    path,
    '',
    `host:${new URL(OBS_CONFIG.endpoint).hostname}\nx-amz-date:${date}`,
    '',
    'host;x-amz-date',
    payloadHash
  ].join('\n');

  const dateStamp = new Date().toISOString().slice(0,10).replace(/-/g,'');
  const scope = `${dateStamp}/${OBS_CONFIG.region}/obs/aws4_request`;
  const stringToSign = [
    'AWS4-HMAC-SHA256',
    date,
    scope,
    require('crypto').createHash('sha256').update(canonicalRequest).digest('hex')
  ].join('\n');

  const kDate = createHmac('sha256', 'AWS4' + OBS_CONFIG.sk).update(dateStamp).digest();
  const kRegion = createHmac('sha256', kDate).update(OBS_CONFIG.region).digest();
  const kService = createHmac('sha256', kRegion).update('obs').digest();
  const kSigning = createHmac('sha256', kService).update('aws4_request').digest();
  const signature = createHmac('sha256', kSigning).update(stringToSign).digest('hex');

  const authHeader = `AWS4-HMAC-SHA256 Credential=${OBS_CONFIG.ak}/${scope}, SignedHeaders=host;x-amz-date, Signature=${signature}`;

  try {
    const obsRes = await axios({
      method,
      url: OBS_CONFIG.endpoint + path,
      headers: {
        'Host': new URL(OBS_CONFIG.endpoint).hostname,
        'x-amz-date': date,
        'Authorization': authHeader,
        ...req.headers
      },
      data: req.body,
      maxRedirects: 0
    });
    res.status(obsRes.status).set(obsRes.headers).send(obsRes.data);
  } catch (err) {
    console.error('OBS Proxy Error:', err.response?.status, err.message);
    res.status(err.response?.status || 500).json({ error: 'OBS proxy failed' });
  }
});

app.listen(PORT, () => console.log(`✅ Dev OBS Proxy running on http://localhost:${PORT}`));

五、架构演进流程图：从调试到生产的密钥隔离路径

六、关键避坑指南（5年+开发者实测）

1. 微信 PC 小程序的 wx.uploadFile 不支持自定义 Authorization header —— 必须走 wx.request + FormData 模拟，但 FormData 在 PC 端兼容性差，推荐统一用 wx.request + ArrayBuffer + Content-Type: application/octet-stream；
2. OBS 的 x-amz-acl 头在 PC 小程序中会被微信拦截，若需设为 public-read，请在服务端预置 Bucket Policy；
3. 本地代理务必启用 HTTPS 代理转发（如用 https-proxy-agent），否则 OBS 会拒绝非 TLS 请求；
4. 华为云 STS Token 的 DurationSeconds 最小值为 900（15 分钟），调试期建议设为 300 秒并配合前端自动刷新逻辑；
5. 所有调试代理服务必须添加 Access-Control-Allow-Origin: * 及 Access-Control-Allow-Headers: *，否则 wx.request 触发预检失败。

七、生产就绪检查清单

• ✅ OBS Bucket 已配置跨域规则（CORS），允许 miniprogram.debug 和目标域名
• ✅ IAM 用户已绑定最小权限策略（ObsReadOnlyAccess 或自定义 obs:PutObject 路径限制）
• ✅ 所有临时凭证生成接口已启用 uniCloud 函数鉴权（如 uniID 登录态校验）
• ✅ 前端上传逻辑已抽象为统一 Service 层，支持运行时切换代理模式（process.env.NODE_ENV === 'development'）
• ✅ 日志中已脱敏所有 AK/SK 输出（包括 error.stack 中的调试信息）