背景

采用JavaScript客户端直接签名（参见JavaScript客户端签名直传）时，AccessKey ID和AcessKey Secret会暴露在前端页面，因此存在严重的安全隐患。因此，OSS提供了服务端签名后直传的方案。

流程介绍

流程如下图所示：

本示例中，Web端向服务端请求签名，然后直接上传，不会对服务端产生压力，而且安全可靠。但本示例中的服务端无法实时了解用户上传了多少文件，上传了什么文件。如果想实时了解用户上传了什么文件，可以采用服务端签名直传并设置上传回调。

流程和源码解析

服务端签名后直传的源码流程和服务端签名直传并设置上传回调类似，请参见服务端签名直传并设置上传回调–原理介绍 。

代码示例

本场景是服务端签名后直传，并没有上传回调。与服务端签名直传并设置上传回调示例中的区别在于，在下载的客户端源码中打开upload.js文件，找到如下代码片段：

{
  'key' : g_object_name,
  'policy': policyBase64,
  'OSSAccessKeyId': accessid,
  'success_action_status' : '200', //让服务端返回200，否则默认返回204。
  'callback' : callbackbody,
  'signature': signature,
}

将'callback' : callbackbody注释掉，这样就关闭了上传回调的开关，只提供服务端签名后直传的功能。