PHP集成AWS DynamoDB：安全认证与查询实践指南

在使用php aws sdk与dynamodb进行交互时，开发者常会遇到unrecognizedclientexception，提示“the security token included in the request is invalid.”。这通常意味着您的应用程序未能提供有效或正确的aws身份验证凭证。本教程将详细介绍如何正确配置aws凭证，并在php应用中实现dynamodb的查询操作。

1. 理解AWS身份验证凭证

AWS服务（包括DynamoDB）的访问控制基于AWS Identity and Access Management (IAM)。当您的应用程序尝试访问AWS资源时，它必须提供有效的凭证来证明其身份和权限。这些凭证通常包括：

• Access Key ID (访问密钥 ID)：类似于用户名，用于标识您的AWS账户或IAM用户。
• Secret Access Key (秘密访问密钥)：类似于密码，与Access Key ID配对使用，用于对您的请求进行加密签名。

UnrecognizedClientException错误正是由于这些凭证缺失、不正确或已过期导致的。

2. 获取和配置AWS编程访问凭证

为了让PHP应用程序能够与DynamoDB通信，您需要为IAM用户创建编程访问凭证。

2.1 创建IAM用户和编程访问密钥

1. 登录AWS管理控制台：前往IAM服务。
2. 创建或选择IAM用户：建议为应用程序创建一个专用的IAM用户，而不是使用根用户凭证。
3. 附加策略：为该IAM用户附加适当的权限策略。例如，如果您只需要查询DynamoDB，可以附加AmazonDynamoDBReadOnlyAccess或自定义策略以授予更精细的权限。
4. 创建访问密钥：在IAM用户的“安全凭证”选项卡下，找到“访问密钥”部分，点击“创建访问密钥”。选择“应用程序代码”作为用例，然后按照提示完成创建。
5. 保存凭证：创建成功后，AWS会显示Access Key ID和Secret Access Key。请务必立即下载或复制这些密钥，因为Secret Access Key只显示一次。

2.2 配置AWS CLI（可选但推荐）

虽然不是强制要求，但安装和配置AWS CLI是一个很好的实践，因为它允许您在本地测试AWS服务，并且AWS SDK在默认情况下会查找由CLI配置的凭证。

立即学习“PHP免费学习笔记（深入）”；

1. 安装AWS CLI：根据您的操作系统，参照AWS官方文档安装AWS CLI。
2. 配置CLI：在命令行中运行 aws configure，然后输入您刚刚创建的Access Key ID、Secret Access Key、默认区域（例如 us-west-2）和默认输出格式（例如 json）。

   aws configure
   AWS Access Key ID [None]: YOUR_AWS_ACCESS_KEY_ID
   AWS Secret Access Key [None]: YOUR_AWS_SECRET_ACCESS_KEY
   Default region name [None]: us-west-2
   Default output format [None]: json

   登录后复制

   这些凭证将存储在 ~/.aws/credentials 文件中。

   

   集简云

   软件集成平台，快速建立企业自动化与智能化

   22

   查看详情

3. 在PHP应用中集成AWS SDK和凭证

AWS SDK for PHP会自动查找多种来源的凭证，包括环境变量、AWS CLI配置文件和硬编码的凭证。

3.1 安装AWS SDK for PHP

如果您尚未安装，请通过Composer进行安装：

composer require aws/aws-sdk-php

3.2 初始化DynamoDB客户端并配置凭证

以下示例展示了如何在PHP中初始化DynamoDB客户端，并配置必要的凭证和区域。

<?php

require 'vendor/autoload.php'; // 确保Composer自动加载器已包含

use Aws\DynamoDb\DynamoDbClient;
use Aws\Exception\AwsException;
use Aws\DynamoDb\Marshaler; // 用于简化数据类型转换

// 推荐：通过环境变量或AWS CLI配置文件管理凭证
// 如果您已经通过 `aws configure` 配置了凭证，或者设置了环境变量
// AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY，SDK会自动加载它们。
// 在这种情况下，您可以这样初始化客户端：
$client = new DynamoDbClient([
    'version' => 'latest', // 或指定版本，例如 '2012-08-10'
    'region'  => 'us-west-2' // 替换为您的DynamoDB表所在的区域
]);

// 仅为演示目的：直接在代码中配置凭证（生产环境不推荐）
// 如果您选择直接在代码中提供凭证，请确保它们的安全，例如从安全的环境变量中读取。
/*
$client = new DynamoDbClient([
    'version'     => 'latest',
    'region'      => 'us-west-2', // 替换为您的DynamoDB表所在的区域
    'credentials' => [
        'key'    => 'YOUR_AWS_ACCESS_KEY_ID',    // 替换为您的Access Key ID
        'secret' => 'YOUR_AWS_SECRET_ACCESS_KEY', // 替换为您的Secret Access Key
        // 'token' => 'YOUR_AWS_SESSION_TOKEN', // 如果使用临时凭证，可能需要此项
    ]
]);
*/

echo "DynamoDB客户端初始化成功。\n";

// 实例化 Marshaler，用于将PHP数组转换为DynamoDB JSON格式，反之亦然
$marshaler = new Marshaler();

// 示例：执行一个简单的查询操作
$tableName = 'YourTableName'; // 替换为您的DynamoDB表名
$partitionKeyName = 'Id';     // 替换为您的分区键名
$partitionKeyValue = 'item123'; // 替换为要查询的分区键值

try {
    $result = $client->query([
        'TableName'                 => $tableName,
        'KeyConditionExpression'    => '#pk = :pk_val', // 使用表达式属性名称占位符
        'ExpressionAttributeNames'  => [
            '#pk' => $partitionKeyName
        ],
        'ExpressionAttributeValues' => $marshaler->marshalJson(json_encode([
            ':pk_val' => $partitionKeyValue
        ])),
        'ProjectionExpression'      => 'Id, Title, Status' // 指定要返回的属性
    ]);

    echo "查询结果:\n";
    if (isset($result['Items']) && count($result['Items']) > 0) {
        foreach ($result['Items'] as $item) {
            // 将DynamoDB格式的项转换为标准的PHP数组
            print_r($marshaler->unmarshalItem($item));
        }
    } else {
        echo "未找到匹配项。\n";
    }

} catch (AwsException $e) {
    // 捕获并处理AWS SDK异常
    echo "查询失败: " . $e->getMessage() . "\n";
    echo "错误代码: " . $e->getAwsErrorCode() . "\n";
    // 更多错误信息：$e->getAwsErrorType(), $e->getAwsRequestId()
} catch (Exception $e) {
    // 捕获其他通用异常
    echo "发生未知错误: " . $e->getMessage() . "\n";
}

4. 注意事项

• 区域一致性：确保DynamoDB客户端初始化时指定的region与您的DynamoDB表所在的实际区域完全一致。错误的区域会导致连接失败或资源找不到。
• 权限管理：分配给IAM用户的权限应遵循最小权限原则。只授予应用程序完成其任务所需的最低权限。例如，如果应用程序只需要读取数据，则仅授予dynamodb:Query、dynamodb:GetItem等读取权限。
• 凭证安全：
  • 切勿将Access Key ID和Secret Access Key硬编码到您的代码库中并提交到版本控制系统。
  • 优先使用环境变量（例如在生产服务器上设置AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY）。
  • 对于运行在EC2实例上的应用，最佳实践是使用IAM角色。将IAM角色附加到EC2实例，SDK会自动获取临时凭证，无需手动配置。
  • 对于本地开发，使用AWS CLI配置文件 (~/.aws/credentials) 是一个方便且相对安全的方式。
• 错误处理：始终使用try-catch块来捕获AwsException，这能帮助您诊断和处理与AWS服务交互时可能出现的错误。
• 数据类型转换：DynamoDB有其特定的数据类型表示（例如，字符串为['S' => 'value']，数字为['N' => '123']）。AWS SDK的Marshaler类可以帮助您在PHP数组和DynamoDB JSON格式之间进行方便的转换。

总结

通过本教程，您应该已经了解了导致“安全令牌无效”错误的原因，并掌握了如何正确获取、配置和使用AWS访问凭证来连接DynamoDB。核心在于确保您的PHP应用程序在初始化DynamoDB客户端时提供了有效且具有足够权限的Access Key ID和Secret Access Key，并且区域配置正确。遵循这些指导原则，您将能够安全、高效地在PHP应用程序中实现DynamoDB的数据查询和其他操作。

以上就是PHP集成AWS DynamoDB：安全认证与查询实践指南的详细内容，更多请关注php中文网其它相关文章！