装包同步到阿里云 OSS,后续官网可以提供国内镜像链接。全程使用 OIDC 免密认证,不存长期 AccessKey。
过程中遇到不少问题,带着 claude code 折腾了几个小时,才整好。下边是详细的过程记录。
顺带说一句 Molio 在 github 上开源了,有兴趣的同学可以去看看。
实施过程中还修了一个附带问题:electron-builder 的--publish always会把 beta/rc 预发布 tag 也发到 GitHub Releases,而我们的 OSS 同步没有区分预发布和正式版,导致latest.json被 beta 版本覆盖,官网下载链接指向了测试版。
方案
流程
GitHub Actions (tag push) → smoke-test → build (发布到 GitHub Releases) → upload-oss ├── 始终上传安装包到 OSS(含 prerelease) └── 仅正式版更新 latest.json认证链路
GitHub OIDC Token → 阿里云 STS AssumeRoleWithOIDC → 临时 AK/SK/Token → ossutil 上传前置配置
阿里云侧(一次性):
- 创建 OSS Bucket
molio-releases(公共读、标准存储) - 创建 OIDC Provider,信任 GitHub Actions,Audience 设为
sts.aliyuncs.com - 创建 RAM Role
GitHubActions-OSSUpload,信任策略限定repo:zhuzhaoyun/Molio:* - 附加最小权限策略:仅允许操作
molio-releasesbucket
GitHub 侧配置 4 个 Repository Variables(非 Secrets,开源项目可审计):ALIYUN_ROLE_ARN、ALIYUN_OIDC_PROVIDER_ARN、OSS_BUCKET、OSS_ENDPOINT。
Pre-release 处理
版本号含-即为预发布(如1.0.0-beta.1),不含则为正式版(如1.0.0)。预发布版本上传到 OSS 但不更新latest.json,方便内部测试的同时不把测试版推给普通用户。
| Tag 格式 | 类型 | OSS 上传 | 更新 latest.json |
|---|---|---|---|
v1.0.0 | 正式版 | ✅ | ✅ |
v1.0.0-beta.1 | 预发布 | ✅ | ❌ |
v1.0.0-rc.2 | 预发布 | ✅ | ❌ |
踩坑记录
凭空捏造的 GitHub Action
我凭记忆写了aliyun/configure-credentials@v3和aliyun/ossutil-action@v1,CI 报 repository not found。这两个 action 在 Marketplace 上不存在。
aliyun CLI 下载链接失效
改用安装 aliyun CLI 的方案,https://aliyuncli.alicdn.com/aliyun_cli_latest_linux_amd64.tar.gz返回 404。
curl 调 STS API 缺少签名
放弃 CLI 后用 curl 直调 STS API。OIDC Token 获取成功,但 STS 返回MissingTimestamp。阿里云 STS API 要求 HMAC-SHA1 请求签名,包含 Timestamp、Nonce 等参数,curl 手动拼 URL 无法完成签名。
测试 tag 不匹配 workflow trigger
推送v0.3.11-test后 release workflow 没触发。release.yml的 trigger 配置为tags: ["v*.*.*"],-test后缀不匹配三段式版本号 glob。临时改为tags: ["v*"]验证通过后恢复。
Pre-release 覆盖了 latest.json
推送v0.3.8-beta.1后latest.json被更新为 beta 版本号。正式版用户通过 auto-update 不会收到 beta,但新用户从官网下载到的是测试版。
最终方案
前三个问题的解法相同:放弃第三方 action 和 aliyun CLI,改用原生工具链。curl获取 OIDC Token,Python SDK 调用 STS,ossutil 上传。零外部依赖,不受 action 下架或链接失效影响。
STS 签名问题靠阿里云官方 Python SDKalibabacloud_sts20150401解决。SDK 自动处理签名、Timestamp、Nonce,并且原生支持 OIDC bearer token:
from alibabacloud_sts20150401.client import Client from alibabacloud_tea_openapi import models as api_models config = api_models.Config( credential=api_models.CredentialConfig(bearer_token=oidc_token), region_id='cn-guangzhou', ) client = Client(config=config) resp = client.assume_role_with_oidc(request)CredentialConfig(bearer_token=...)是 OIDC 免密认证的标准用法,不需要任何 AK/SK。
Pre-release 区分在 upload-oss job 中用版本号判断:
- name: Upload to OSS and update latest.json shell: bash run: | VERSION="${{ steps.version.outputs.version }}" TAG="v${VERSION}" for file in ./release-assets/*; do filename=$(basename "$file") ossutil cp "$file" oss://${{ vars.OSS_BUCKET }}/releases/${TAG}/${filename} \ --endpoint=${{ vars.OSS_ENDPOINT }} --update done if [[ "$VERSION" != *-* ]]; then echo "Stable release, updating latest.json" cat > /tmp/latest.json <<EOF {"version":"${VERSION}","updatedAt":"$(date -u +%Y-%m-%dT%H:%M:%SZ)"} EOF ossutil cp /tmp/latest.json oss://${{ vars.OSS_BUCKET }}/releases/latest.json \ --endpoint=${{ vars.OSS_ENDPOINT }} --meta Cache-Control:no-cache else echo "Pre-release (${VERSION}), skipping latest.json" fi备忘
| 要点 | 说明 |
|---|---|
| 先确认 action 存在再写 | 不要凭记忆写 action 名称,去 Marketplace 查 |
| 阿里云 API 用官方 SDK | curl 手动签名不可行,SDK 自动处理鉴权 |
| OIDC 认证走 bearer_token | CredentialConfig(bearer_token=...)无需 AK/SK |
| ARN 放 Variables 不放 Secrets | 开源项目可审计,ARN 本身不是敏感信息 |
| 信任策略限定 repo | oidc:sub: repo:owner/repo:*,防止其他 repo 扮演你的角色 |
workflow 顶层声明id-token: write | 否则拿不到 OIDC Token |
| Pre-release 区分对待 | 文件全量上传,latest.json只指向正式版 |
