SST框架中结合Cloudflare自定义域名时解决S3上传403错误的经验

在使用SST框架部署Next.js应用时，许多开发者会遇到一个典型问题：当配置CDN服务自定义域名后，原本正常工作的S3文件上传功能突然返回403禁止访问错误。本文将深入分析这一问题的成因，并提供完整的解决方案。

问题现象分析

当开发者按照SST官方文档配置Next.js示例项目后，通常会经历以下流程：

1. 开发环境测试通过（sst dev）
2. 生产环境部署成功（sst deploy --stage production）
3. 添加CDN服务自定义域名配置

问题往往出现在第三步之后，前端应用尝试通过预签名URL上传文件时，AWS S3服务返回403状态码。这种权限问题通常与跨域配置(CORS)或HTTP方法设置不当有关。

核心配置要点

1. S3存储桶的CORS配置

正确的CORS配置应包含以下关键元素：

const bucket = new sst.aws.Bucket("MyBucket", {
  public: true,
  cors: {
    allowHeaders: ["*"],
    allowOrigins: ["*", "https://yourdomain.com"], // 必须包含自定义域名
    allowMethods: ["DELETE", "GET", "HEAD", "POST", "PUT"], // 特别注意PUT方法
    exposeHeaders: [],
    maxAge: "0 seconds"
  }
});

2. HTTP方法匹配

开发者常犯的错误是前端代码使用POST方法，而CORS配置只允许PUT方法。必须确保：

• 前端使用的HTTP方法（如axios.put）
• CORS配置的allowMethods
• S3预签名URL生成时指定的方法 三者完全一致。

解决方案实施步骤

1. 检查CORS配置： 确保自定义域名已添加到allowOrigins，且包含协议头(https://)

2. 验证HTTP方法：

   • 前端上传代码应使用PUT而非POST
   • 预签名URL生成代码示例：

   const command = new PutObjectCommand({ /* 参数 */ });
   const url = await getSignedUrl(s3Client, command, { expiresIn: 3600 });
   

3. 部署后验证： 使用curl测试预签名URL：

   curl -X PUT -T testfile.jpg "预签名URL"
   

常见误区与排查技巧

1. 缓存问题： CDN服务可能会缓存403响应，测试时可暂时关闭缓存或使用开发模式

2. DNS传播延迟： 新配置域名后等待10-15分钟确保DNS完全生效

3. 阶段环境混淆： 确认修改的是production阶段的配置，而非development

最佳实践建议

1. 建议在SST配置中明确区分开发和生产环境的域名配置
2. 使用环境变量管理不同阶段的域名配置
3. 考虑实现一个健康检查端点，自动验证上传功能是否正常

通过系统性地检查这些环节，大多数S3上传403错误都可以得到有效解决。关键在于理解AWS权限模型与HTTP规范的交互方式，确保每个配置环节的协调一致。