生成 blob sas 令牌必须使用 storagesharedkeycredential,不可仅用含 sas 的连接字符串;userdelegationkey 需账户密钥参与签名,且 blobsasbuilder 的 Resource 必须设为 blob 或 container,时间需严格 utc 校准并匹配 key 有效期。

生成 Blob SAS 令牌必须用 StorageSharedKeyCredential,不能只靠连接字符串
直接用连接字符串初始化 BlobServiceClient 后调用 GetUserDelegationKeyAsync 会失败——因为用户委托密钥需要账户级密钥参与签名。连接字符串里如果只含 SAS 或仅含 endpoint,就缺这个关键凭证。
- 正确做法:先用账户名 + 账户密钥构造
StorageSharedKeyCredential,再传给BlobServiceClient - 错误现象:
InvalidOperationException: Cannot create user delegation key with connection String containing only SAS Token - 注意:azure AD 凭据(如
DefaultAzureCredential)也不能替代StorageSharedKeyCredential生成用户委托 SAS;它只适用于资源访问,不参与密钥签发
BlobSasBuilder 的 Resource 参数必须设为 BlobSasResource.Blob 或 BlobSasResource.Container,不能填错
这个枚举值决定 SAS 的作用范围,填错会导致生成的令牌在实际请求时返回 403 Server failed to authenticate the request 或 404 The specified resource does not exist。
-
BlobSasResource.Blob→ 令牌只能访问单个 blob(需同时指定BlobContainerName和BlobName) -
BlobSasResource.Container→ 令牌可列出容器内 blob、读写新 blob(但不能删已有 blob,除非加Permissions中的d) - 常见误配:
Resource = BlobSasResource.Service是无效值,编译过不去;Resource = BlobSasResource.Account属于 Account SAS,得用AccountSasBuilder,和这里无关
时间参数必须严格校准:开始时间不能晚于当前 UTC,过期时间不能超过 7 天(用户委托 SAS)或 24 小时(账户密钥 SAS)
本地时钟偏移、未用 DateTimeOffset.UtcNow、手动加减小时数却忽略夏令时,都会让 SAS 立即失效或提前过期。
- 必须用
DateTimeOffset,且全部基于 UTC:startsOn = DateTimeOffset.UtcNow,expiresOn = DateTimeOffset.UtcNow.AddHours(1) - 用户委托 SAS(推荐)最大有效期是 7 天,超时会抛
ArgumentException: Expiry time must be within 7 days - 账户密钥 SAS 最大有效期是 24 小时,超时同样报错;但它不需要用户委托密钥,适合简单场景
- 如果服务端时间比客户端快 5 分钟,而你设了
startsOn = DateTimeOffset.Now(本地时间),令牌可能还没生效就被拒
用户委托 SAS 需要两步:先取 UserDelegationKey,再用它构建签名——跳过任一环节都拿不到有效令牌
这是最容易漏掉的链路。很多人以为调一次 GetUserDelegationKeyAsync 就能复用很久,其实它的有效期默认只有 7 天,而且每次构建 SAS 都要传入最新 key。
- 第一步:
var key = await client.GetUserDelegationKeyAsync(startTime, expiryTime)(注意 start/expires 必须覆盖你要签的 SAS 时间范围) - 第二步:把
key塞进BlobSasBuilder的SetUserDelegationKey方法,再调ToString() - 性能提示:key 可缓存复用(比如存到内存或 redis),但别缓存超过其自身
ExpiresOn;每次生成 SAS 前检查是否过期 - 示例片段:
var sas = new BlobSasBuilder { BlobContainerName = "mycontainer", BlobName = "myfile.txt", Resource = BlobSasResource.Blob, StartsOn = DateTimeOffset.UtcNow, ExpiresOn = DateTimeOffset.UtcNow.AddMinutes(60), Permissions = "r" }; sas.SetUserDelegationKey(key, accountName); // accountName 是存储账户名,不是连接字符串里的全路径
实际用起来最麻烦的不是语法,是时间对齐、凭证类型匹配、还有那个必须显式传进去的 accountName 字符串——它得和你初始化 StorageSharedKeyCredential 时用的完全一致,大小写敏感,少一个字符都不行。