OSS通過使用AccessKey ID、AccessKey Secret對稱加密的方法來驗證某個請求的發送者身份。

AccessKey包含AccessKey ID和AccessKey Secret。其中，AccessKey ID用于標識用戶，AccessKey Secret是用戶用于加密簽名字符串和OSS用來驗證簽名字符串的密鑰，AccessKey Secret必須保密。AccessKey根據所屬賬號的類型有所區分。

• 阿里云賬號AccessKey：每個阿里云賬號提供的AccessKey對擁有的資源有完全的權限。
• RAM用戶AccessKey：RAM賬戶由阿里云賬號授權生成，所用的AccessKey擁有對特定資源限定的操作權限。
• STS臨時訪問憑證：通過STS服務生成的臨時訪問憑證包括安全令牌 （SecurityToken）、臨時訪問密鑰STS AccessKey（AccessKey ID和AccessKey Secret）。所用的AccessKey在限定時間內擁有對特定資源限定的操作權限。臨時訪問憑證過期后，權限將自動失效。

當您以個人身份向OSS發送請求時，首先需要將發送的請求按照OSS指定的格式生成簽名字符串，然后使用AccessKey Secret對簽名字符串進行加密產生驗證碼。OSS收到請求后，通過AccessKey ID找到對應的AccessKey Secret，并以同樣的方法提取簽名字符串和驗證碼。如果計算出來的驗證碼和提供的一致則認為該請求有效；否則，OSS將拒絕處理這次請求，并返回HTTP 403錯誤。

有關OSS權限控制的更多信息，請參見權限控制概述。