云存储通常用作浏览器和移动应用程序的内容源。这通常是通过应用程序发布的、预先授权的url来实现的，这些url提供了对特定内容的有时间限制的访问，而不需要服务来代理这种访问。Azure存储通过使用共享访问签名令牌（SAS令牌）来支持此模式。这些令牌通过使用由帐户管理员控制的存储帐户访问密钥签署授权声明，授予对存储对象的特定、有时间限制的访问权限。虽然这种方法为客户端提供了所需的有限访问权限，但它有时表示对这些令牌颁发服务的访问权限的过度配置，因为这提供了对整个帐户的完全控制，而这些帐户可能只需要对特定内容的读访问权限。今天我们将推出一种新的SAS令牌的预览，用户委托SAS令牌。通过扩展Azure AD和Azure基于角色的访问控制（RBAC）的最新版本，较低权限的用户和服务现在可以使用这种新的预授权URL将其访问的子集委派给客户端。客户端检索绑定到其Azure Active Directory（AD）帐户的用户委派密钥，然后使用该密钥创建SAS令牌，授予其自己的访问权限子集。这意味着，例如，只对最终用户内容具有读访问权限的应用程序组件可以配置为向客户机发出短暂的只读url，而不存在存储和使用功能强大的帐户访问密钥所涉及的风险。Azure存储访问日志还将反映客户端使用这些SAS令牌与此应用程序组件的Azure AD主体关联。在此预览期间，您可以使用自己的代码生成用户委派SAS令牌，也可以使用Azure PowerShell或Azure CLI。请记住，首先需要向将生成SAS令牌的用户帐户授予RBAC访问数据的权限。在我们的文档中了解有关授予RBAC访问blob数据的更多信息。如何创建用户委派SAS令牌预览功能现在可供所有人使用，供非生产使用。无需注册。对于开发人员，下面是一个使用.NET代码生成用户委派SAS令牌的示例。它还显示了我们新的.NET客户端库，用于存储和集成Azure.身份图书馆。client=new BlobServiceClient（accountUri，new DefaultAzureCredential（））；//定义读取blob的权限集，从现在起在指定的分钟数内有效BLOBASBUILDER builder=新建BLOBASBUILDER（）{ContainerName=集装箱名称，BlobName=BlobName，权限="r"，资源="b"，开始时间=日期时间偏移量.UtcNow,到期时间=日期时间偏移量.UtcNow.AddMinutes（令牌生存期）};//根据需要刷新用户委派密钥，有效期最长为7天if（currentUdk==null | |当前UDK.SignedExpiry--帐户名myaccount\>--容器名称容器\>--名称文件.txt\>--权限r\>--有效期：2019-08-30\>--身份验证模式登录\>--作为用户\>--完整uri参数"-as user"正在预览中。在将来的版本中，它可能会被更改/删除。https://myaccount.blob.core.windows.net/container/file.txt？se=2019-08-30&sp=r&sv=2018-11-09&sr=b&skoid=8c93ed4c-3e11-E11-43f4-9307-3664C9C9C16554&sktid=9341f370-b982-47de-b7c1-8DBE611328559&skt=2019-08-28二二二二二二二二二二二二二二二二二二二二二二二二二二二二二二二二二五五五五五七三三三八Z&ske=2019-08-30T00%三零零零零零零零零零零零零零零八Z&sks=b&skv=2018-11-09&sig=七七七七七三四四四四NFY4WCNMFMQ%3D请查看我们的文档，以了解azurepowershell和azurecli中更详细的示例。用于Azure blob的用户委派SAS令牌允许从较低权限的身份发出预先授权的url，并且可以在所有Azure云和位置的预览中使用。请在我们的文档中阅读更多关于它们的信息，并尝试一下。我们很乐意在AzureStorageFeedback@microsoft.com。