用COS搭一个“商家素材库”:门店图片/视频统一放一处
想把门店海报、菜品图、短视频、证照这些素材管起来,用腾讯云对象存储 COS 很省心:一个存储桶当“总仓库”,按门店和用途分目录,运营同事只管上传和取用。
- 建桶:COS控制台 → 存储桶列表 → 新建存储桶(建议选离门店业务最近地域)。
- 目录规划:例如 /store/10086/images/、/store/10086/videos/、/brand/common/,门店素材和总部通用素材分开,后面做权限会很舒服。
- 命名小技巧:同一张图多版本,文件名带尺寸或用途,如 banner_1080x420.jpg、menu_print.png,减少“传了但找不到”。
分级权限共享:总部可见、门店可写、外包只传不看
核心建议就一句:存储桶权限别开“公有读”,用“私有读写”当默认底线,盗刷风险立刻降一大截。
- 访问权限:存储桶管理 → 权限管理/基础配置,把桶设为私有。
- 人员分层:用CAM建子账号或角色,给到“某个前缀目录”的权限。例子:门店账号只允许对 /store/10086/ 上传与读取;总部账号对 /brand/ 维护。
- 外包协作:给“只写不读”的上传权限(只允许Put对象到指定前缀),他们能交稿,但看不到你其他门店素材。
防盗链与外链控制:让别人的网站别拿你流量
很多商家踩坑在这里:图片链接被别人网页或爬虫引用,一夜跑掉几十GB下行流量。COS 自带防盗链,配置很直观。
- 开启防盗链:存储桶管理 → 安全管理 → 防盗链设置 → 开启。
- 建议用白名单:把你自己的域名、H5域名、CDN域名加进去;支持通配符,最多30行,如 *.yourdomain.com。
- 拒绝空Referer:很多盗链是“空referer”直拉资源,建议直接拒绝。
- 重要规则:如果访问URL或Header里带签名,COS 不做防盗链校验;也就是说,私有桶+签名访问,本身就很抗盗链。
小程序加载图片的白名单怎么填
小程序网络请求的 referer 是固定格式:https://servicewechat.com/{appid}/{version}/page-frame.html。所以桶开了防盗链又要让小程序正常显示时,在白名单里加servicewechat.com就行。
小程序直传(不走你服务器传文件)的配置思路
做法是:服务器只发“临时钥匙”,文件直接从小程序上传到COS。
- 服务端:接入STS,按门店目录下发临时密钥(建议有效期设成10-30分钟),并限制只能Put到 /store/10086/* 这类前缀。
- 小程序端:用临时 SecretId/SecretKey 计算签名,请求里带 x-cos-security-token(sessionToken),直传到COS。
- 回传存证:上传成功把对象URL或Key写回你的业务库,素材就“有账可查”。
给你一套能直接落地的执行清单
- 今天就把桶改私有,别再用公有读硬扛。
- 按门店ID建前缀目录,并把权限绑定到目录,而不是“给整个桶”。
- 开启防盗链白名单 + 拒绝空referer,小程序业务记得加 servicewechat.com。
- 上直传就用STS临时密钥,密钥有效期别太长,上传目录必须限死。
- 打开访问日志与监控告警,重点盯外网下行流量,异常就立刻排查referer和来源IP。
