GitHub Actions OIDC免密同步阿里云OSS构建产物指南
背景
最近在开发面向知识工作者的创作系统 Molio(桌面应用),需要打包分发。安装包原本通过 GitHub Releases 发布,但国内用户下载体验极差,自动更新也频繁失败。后来决定添加阿里云 OSS 镜像,官网直接挂载国内下载链接。于是在 CI 流水线中新增 upload-oss job,构建完成后自动将安装包推送至阿里云 OSS。全程使用 OIDC 免密认证,无需长期存储 AccessKey。这一路遇到不少坑,借助 Claude 折腾数小时才搞定,下面完整记录整个过程。
期间顺便修复了一个附带问题:electron-builder 的 --publish always 会把 beta/rc 等预发布 tag 一并发布到 GitHub Releases,而 OSS 未区分预发布与正式版,导致 latest.json 被 beta 版本覆盖,官网下载链接指向测试版,对用户非常不友好。
方案
流程
GitHub Actions (tag push) → smoke-test → build (发布到 GitHub Releases) → upload-oss├── 始终上传安装包到 OSS(含 prerelease)└── 仅正式版更新 latest
认证链路
GitHub OIDC Token → 阿里云 STS AssumeRoleWithOIDC → 临时 AK/SK/Token → ossutil 上传
前置配置
阿里云一次性配置完成:
- 创建 OSS Bucket
molio-releases(公共读、标准存储) - 创建 OIDC Provider,信任 GitHub Actions,Audience 设为
sts.aliyuncs.com - 创建 RAM Role
GitHubActions-OSSUpload,信任策略限定死repo:zhuzhaoyun/Molio:* - 附加最小权限策略:仅允许操作
molio-releases这个 bucket
GitHub 方面配置 4 个 Repository Variables(而非 Secrets,开源项目可审计):ALIYUN_ROLE_ARN、ALIYUN_OIDC_PROVIDER_ARN、OSS_BUCKET、OSS_ENDPOINT。
Pre-release 处理
版本号包含 - 即视为预发布(如 1.0.0-beta.1),不带则为正式版(如 1.0.0)。预发布版本正常上传到 OSS,但不更新 latest.json,这样内部测试时可以随意发布,避免测试版推给普通用户。
| Tag 格式 | 类型 | OSS 上传 | 更新 latest.json |
|---|---|---|---|
v1.0.0 |
正式版 | ✅ | ✅ |
v1.0.0-beta.1 |
预发布 | ✅ | ❌ |
v1.0.0-rc.2 |
预发布 | ✅ | ❌ |
踩坑记录
凭空捏造的 GitHub Action
凭记忆写了 aliyun/configure-credentials@v3 和 aliyun/ossutil-action@v1,结果 CI 直接报 repository not found。到 Marketplace 一查,这两个 action 根本不存在,白费功夫。
aliyun CLI 下载链接失效
转而尝试使用 aliyun CLI,结果 https://aliyuncli.alicdn.com/aliyun_cli_latest_linux_amd64.tar.gz 返回 404,链接已废弃。
curl 调 STS API 缺少签名
放弃 CLI 后用 curl 直调 STS API。OIDC Token 顺利获取,但 STS 返回 MissingTimestamp。阿里云 STS API 需要 HMAC-SHA1 请求签名,需携带 Timestamp、Nonce 等参数,仅靠 curl 手动拼接 URL 无法完成签名。
测试 tag 不匹配 workflow trigger
推送 v0.3.11-test 后 release workflow 未触发。检查发现 release.yml 的 trigger 配置为 tags: ["v*.*.*"],-test 后缀不符合三段版本号的 glob。临时改为 tags: ["v*"] 验证通过后立即恢复。
Pre-release 覆盖了 latest.json
推送 v0.3.8-beta.1 后,latest.json 被更新为 beta 版本号。虽然正式用户通过 auto-update 不会收到 beta 版本,但新用户从官网下载到的却是测试版,造成尴尬局面。
最终方案
前三个问题的解决思路一致:放弃第三方 action 和 aliyun CLI,改用原生工具链。使用 curl 获取 OIDC Token,Python SDK 调用 STS,最后 ossutil 上传。零外部依赖,不受 action 下架或链接失效影响。
STS 签名问题通过阿里云官方 Python SDK alibabacloud_sts20150401 解决。SDK 自动处理签名、Timestamp、Nonce,且原生支持 OIDC bearer token:
from alibabacloud_sts20150401.client import Client
from alibabacloud_tea_openapi import models as api_models
config = api_models.Config(
credential=api_models.CredentialConfig(
bearer_token=oidc_token
),
region_id='cn-guangzhou',
)
client = Client(config=config)
resp = client.assume_role_with_oidc(request)
CredentialConfig(bearer_token=...) 是 OIDC 免密认证的标准用法,无需任何 AK/SK。
Pre-release 的判断在 upload-oss job 中通过版本号区分:
- name: Upload to OSS and update latest.json
shell: bash
run: |
VERSION="${{ steps.version.outputs.version }}"
TAG="v${VERSION}"
for file in ./release-assets/*; do
filename=$(basename "$file")
ossutil cp "$file" oss://${{ vars.OSS_BUCKET }}/releases/${TAG}/${filename} --endpoint=${{ vars.OSS_ENDPOINT }} --update
done
if [[ "$VERSION" != *-* ]]; then
echo "Stable release, updating latest.json"
cat > /tmp/latest.json <
备忘
| 要点 | 说明 |
|---|---|
| 先确认 action 存在再写 | 不要凭记忆写 action 名称,去 Marketplace 查 |
| 阿里云 API 用官方 SDK | curl 手动签名不可行,SDK 自动处理鉴权 |
| OIDC 认证走 bearer_token | CredentialConfig(bearer_token=...) 无需 AK/SK |
| ARN 放 Variables 不放 Secrets | 开源项目可审计,ARN 本身不是敏感信息 |
| 信任策略限定 repo | oidc:sub: repo:owner/repo:*,防止其他 repo 扮演你的角色 |
workflow 顶层声明 id-token: write |
否则拿不到 OIDC Token |
| Pre-release 区分对待 | 文件全量上传,latest.json 只指向正式版 |
项目地址:github.com/zhuzhaoyun/Molio
官网地址:molio.cn/