pre-signed-url · L5

簽章會進 log

簽章會進 log:它是明文、會被到處記下

一句話:整條 pre-signed URL(含 X-Amz-Signature)是明文、在網址裡,會被一路記進各種 log——任何看到那串字的人,在期限內都能用它。

它不是「加密」的,是「簽名」的

先破除誤會:pre-signed URL 沒有把內容藏起來。簽章的作用是「防篡改、證明被授權過」,不是「保密」。整條 URL 攤在明面上——這是它作為 bearer token(Level 1)的本質,改不了。

會無聲記下你 URL 的地方

這些地方常常「預設就記整條網址」,你根本沒察覺 URL 已經被留了副本。

該怎麼做

一句話:把 pre-signed URL 當「會被別人看到的臨時鑰匙」來設計,而不是當「祕密」。安全靠命短、少露,不靠藏。

參考來源