Как я позволяю клиентам загружать на Amazon S3, не выделяя мои ключи?

У одного из моих клиентов есть сайт, который показывает медиа-материалы, который был загружен от клиентского приложения.

Это приложение первоначально использовало FTP, но мы перемещаемся в S3 для различного хранения данных и причин производительности.

То, что я хотел бы смочь сделать, сделали, чтобы этот клиент загрузил файл непосредственно на наше центральное хранилище S3 (крыло dropbox/jungledisk и т.д. и т.д.), но я не вижу способ сделать это, не передавая наши ключи и встраивая их в приложение - не идеальный!

Там какой-либо путь состоит в том, чтобы предоставить клиентское приложение сеансовым ключом / временный URL загрузки / что-то? Это могло быть сделано с помощью API нашего веб-сайта - который, конечно, имеет полный доступ к любому, потребовал секретных ключей S3.

Предложения?