当前位置: 首页
AI教程
GitHub Actions利用OIDC免密同步构建产物到阿里云OSS

GitHub Actions利用OIDC免密同步构建产物到阿里云OSS

热心网友 时间:2026-06-22
转载

背景

最近在开发一款面向知识工作者的创作系统 Molio,这是一款桌面应用,需要进行打包分发。安装包原本通过 GitHub Releases 发布,但国内用户下载速度极慢,自动更新也经常失败。后来决定添加阿里云 OSS 镜像,在官网上直接提供国内下载链接。于是,在 CI 流水线中增加了一个 upload-oss 任务,构建完成后自动将安装包推送至阿里云 OSS。整个过程采用 OIDC 免密认证,无需长期保存 AccessKey。这一路遇到了不少问题,与 Claude 一起折腾了好几个小时才最终搞定,下面把完整的踩坑与解决过程记录下来。

GitHub Actions + 阿里云 OSS:OIDC 免密同步构建产物

过程中还顺手修复了一个附带问题:electron-builder 的 --publish always 会将 beta/rc 这类预发布 tag 也一并发布到 GitHub Releases,而 OSS 这边没有区分预发布和正式版,结果 latest.json 被 beta 版本覆盖,官网下载链接指向了测试版,这对用户来说显然不太友好。

解决方案

工作流程

GitHub Actions (tag 推送)→ smoke-test → build (发布到 GitHub Releases)→ upload-oss├── 始终上传安装包到 OSS(包含预发布版本)└── 仅正式版更新 latest

认证链路

GitHub OIDC Token → 阿里云 STS AssumeRoleWithOIDC → 临时 AK/SK/Token → ossutil 上传

前置配置

阿里云这边一次性配置完成:

  1. 创建一个 OSS Bucket molio-releases(公共读、标准存储)
  2. 创建 OIDC Provider,信任 GitHub Actions,Audience 设置为 sts.aliyuncs.com
  3. 创建 RAM Role GitHubActions-OSSUpload,信任策略限定为 repo:zhuzhaoyun/Molio:*
  4. 附加最小权限策略:仅允许操作 molio-releases 这个 bucket

GitHub 这边配置 4 个 Repository Variables(不是 Secrets,开源项目可审计):ALIYUN_ROLE_ARNALIYUN_OIDC_PROVIDER_ARNOSS_BUCKETOSS_ENDPOINT

预发布版本处理

版本号中包含 - 即视为预发布(例如 1.0.0-beta.1),不包含则为正式版(如 1.0.0)。预发布版本正常上传到 OSS,但不会更新 latest.json,这样内部测试时随意使用,不会将测试版推送给普通用户。

Tag 格式 类型 OSS 上传 更新 latest.json
v1.0.0 正式版
v1.0.0-beta.1 预发布
v1.0.0-rc.2 预发布

踩坑记录

凭空捏造的 GitHub Action

凭印象写了 aliyun/configure-credentials@v3aliyun/ossutil-action@v1,结果 CI 直接报 repository not found。去 Marketplace 一查,发现这两个 action 根本不存在,白费了一番功夫。

aliyun CLI 下载链接失效

又想改用 aliyun CLI 来执行任务,结果 https://aliyuncli.alicdn.com/aliyun_cli_latest_linux_amd64.tar.gz 返回 404,链接已经失效无法使用。

curl 调用 STS API 缺少签名

放弃 CLI 后改用 curl 直接调用 STS API。OIDC Token 倒是顺利获取,但 STS 返回 MissingTimestamp。阿里云 STS API 需要 HMAC-SHA1 请求签名,其中包含 Timestamp、Nonce 等参数,仅靠 curl 手动拼接 URL 根本无法完成签名。

测试 tag 不匹配 workflow trigger

推送 v0.3.11-test 后 release workflow 没有触发。检查发现 release.yml 的 trigger 配置的是 tags: ["v*.*.*"]-test 后缀不匹配三段式版本号的 glob 模式。临时改为 tags: ["v*"] 验证通过后立即恢复回来。

预发布版本覆盖了 latest.json

推送 v0.3.8-beta.1 后,latest.json 被更新成了 beta 版本号。虽然正式版用户通过 auto-update 不会收到 beta 版本,但新用户从官网下载到的却是测试版,这就比较尴尬了。

最终方案

前三个问题的解决思路其实是一致的:放弃第三方 action 和 aliyun CLI,改用原生工具链。使用 curl 获取 OIDC Token,Python SDK 调用 STS,最后用 ossutil 上传。零外部依赖,不受 action 下架或链接失效影响。

STS 签名问题通过阿里云官方 Python SDK alibabacloud_sts20150401 解决。SDK 自动处理签名、Timestamp、Nonce,并且原生支持 OIDC bearer token:

from alibabacloud_sts20150401.client import Client
from alibabacloud_tea_openapi import models as api_models

config = api_models.Config(
    credential=api_models.CredentialConfig(
        bearer_token=oidc_token
    ),
    region_id='cn-guangzhou',
)
client = Client(config=config)
resp = client.assume_role_with_oidc(request)

CredentialConfig(bearer_token=...) 是 OIDC 免密认证的标准用法,完全不需要任何 AK/SK。

预发布版本的判断在 upload-oss job 中通过版本号进行区分:

- name: Upload to OSS and update latest.json
  shell: bash
  run: |
    VERSION="${{ steps.version.outputs.version }}"
    TAG="v${VERSION}"
    for file in ./release-assets/*; do
      filename=$(basename "$file")
      ossutil cp "$file" oss://${{ vars.OSS_BUCKET }}/releases/${TAG}/${filename} --endpoint=${{ vars.OSS_ENDPOINT }} --update
    done
    if [[ "$VERSION" != *-* ]]; then
      echo "Stable release, updating latest.json"
      cat > /tmp/latest.json <

备忘与经验总结

要点 说明
先确认 action 存在再使用 不要凭记忆写 action 名称,先去 Marketplace 核实
阿里云 API 优先使用官方 SDK curl 手动签名不可行,SDK 自动处理鉴权逻辑
OIDC 认证走 bearer_token CredentialConfig(bearer_token=...) 无需 AK/SK,更安全
ARN 放 Variables 而非 Secrets 开源项目可审计,ARN 本身不属于敏感信息
信任策略严格限定 repo oidc:sub: repo:owner/repo:*,防止其他 repo 冒用你的角色
workflow 顶层声明 id-token: write 否则无法获取 OIDC Token
预发布版本区分对待 文件全量上传,latest.json 仅指向正式版

项目地址:github.com/zhuzhaoyun/Molio
官网地址:molio.cn/

来源:https://juejin.cn/post/7651959891603996687

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Pika Windows 2026最新版本地安装配置教程下载地址与环境要求

Pika Windows 2026最新版本地安装配置教程下载地址与环境要求

Pika目前以云端AI视频生成为主,Windows端更适合通过浏览器或PWA方式使用。安装前需确认系统、浏览器、网络与素材规范,并注意账号安全、版权与项目备份。

时间:2026-07-07 06:49
Pika Docker一键部署:镜像拉取、端口映射及数据目录配置

Pika Docker一键部署:镜像拉取、端口映射及数据目录配置

Pika类AI视频工具采用Docker部署前需确认镜像来源、端口占用和数据目录权限。通过拉取镜像、挂载配置与数据目录、设置访问密钥并映射服务端口,可快速完成安装,同时应做好备份、升级回滚和访问控制。

时间:2026-07-07 06:49
Runway安装失败怎么办:常见报错排查与升级回滚方案

Runway安装失败怎么办:常见报错排查与升级回滚方案

Runway安装失败通常与系统版本、网络连通、安装包完整性、显卡驱动、缓存残留和账号环境有关。排查时应先确认官方来源,再按日志、权限、依赖、升级与回滚顺序处理。

时间:2026-07-07 06:49
Pika macOS安装:Apple Silicon与Intel电脑配置步骤

Pika macOS安装:Apple Silicon与Intel电脑配置步骤

Pika主要以网页端方式在macOS使用,AppleSilicon与Intel机型安装思路略有差异。准备好系统版本、浏览器、账号与素材权限后,可通过官网登录、创建桌面快捷方式、配置浏览器与导出目录完成基础环境搭建。

时间:2026-07-07 06:49
Runway本地模型运行教程:下载路径设置与性能优化

Runway本地模型运行教程:下载路径设置与性能优化

Runway本地模型部署适合需要稳定生成、批量处理和私有素材管理的用户,重点包括环境准备、模型下载、目录配置、显存优化、常见报错排查与安全使用边界。

时间:2026-07-07 06:49
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜