签名机制
为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名(Signature)进行身份验证。无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名信息。
概述
RESTful API需要按如下格式在API请求头(request header)中添加Authorization参数进行签名:
Authorization:acs:AccessKeyId:Singature
其中:
- acs:Alibaba Cloud Service的缩写,固定标识不可修改。
- AccessKeyId:调用者调用API所用的密钥ID。
- Signature:使用AccessKey Secret对请求进行对称加密的签名。
计算签名
签名算法遵循RFC 2104 HMAC-SHA1规范,使用AccessSecret对编码、排序后的整个请求串计算HMAC值作为签名。签名的元素是请求自身的一些参数,由于每个API请求内容不同,所以签名的结果也不尽相同。
Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(
StringToSign)) )
完成以下操作,计算签名:
- 构建待签名字符串。
待签名字符串(StringToSign)是API请求拼装的字符串,用于计算签名,包括:
- HTTP协议Header
- 阿里云协议Header(CanonicalizedHeaders)
- 规范资源(CanonicalizedResource)
- Body
待签名字符串必须按照以下顺序构造:
StringToSign = //http协议Header HTTP-Verb + "\n" + Accept + "\n" + Content-MD5 + "\n" +//Body的MD5值放在此处 Content-Type + "\n" + Date + "\n" + //阿里云协议header(CanonicalizedHeaders) CanonicalizedHeaders + //签名中如何包含CanonicalizedResource(规范资源) CanonicalizedResource
示例:原始请求
POST /stacks?name=test_alert&status=COMPLETE HTTP/1.1 Host:***.aliyuncs.com Accept:application/json Content-MD5:ChDfdfwC+Tn874znq7Dw7Q== Content-Type:application/x-www-form-urlencoded;charset=utf-8 Accept-Encoding:identity Date:Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-method:HMAC-SHA1 x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000 x-acs-signature-version:1.0 x-acs-version:2019-03-20
示例:待签名字符串
POST application/json ChDfdfwC+Tn874znq7Dw7Q== application/x-www-form-urlencoded;charset=utf-8 Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-method:HMAC-SHA1 x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000 x-acs-signature-version:1.0 x-acs-version:2019-03-20 /stacks?name=test_alert&status=COMPLETE
- 添加签名。
将计算好的签名以如下格式添加到请求的Header中:
Authorization: acs AccessKeyId:Signature
HTTP协议Header
计算签名必须包含一下参数,并按字典顺序排列;若值不存在则以“\n”补齐。
- Accept :客户端需要的返回值类型,取值:
application/json | application/xml
。 - Content-MD5:HTTP协议消息体的128-bit MD5散列值转换成BASE64编码的结果。
- Accept-Encoding:HTTP Header中Accept-Encoding 是浏览器发给服务器,声明浏览器支持的编码类型。
- Content-Type:RFC 2616中定义的HTTP请求内容类型。
- Date:HTTP 1.1协议中规定的GMT时间,例如:Wed, 05 Sep. 2012 23:00:00 GMT。
说明 不包含key。
示例:原始header
Accept:application/json
Content-MD5:ChDfdfwC+Tn874znq7Dw7Q==
Content-Type:application/x-www-form-urlencoded;charset=utf-8
Accept-Encoding:identity
Date:Thu, 22 Feb 2018 07:46:12 GMT
示例:规范header
application/json
ChDfdfwC+Tn874znq7Dw7Q==
application/x-www-form-urlencoded;charset=utf-8
Thu, 22 Feb 2018 07:46:12 GMT
阿里云协议Header(CanonicalizedHeaders)
阿里云规范头,非标准HTTP头部信息,是请求中出现的以
x-acs-
为前缀的参数。请求中必须包含以下参数:
- x-acs-signature-nonce:唯一随机数,用于防止网络重放攻击。在不同请求间要使用不同的随机数值。
- x-acs-signature-version:签名版本,取值:1.0
- x-acs-version:API版本号,请参照各产品的API文档。
完成以下操作,构造阿里云规范头:
- 将所有以
x-acs-
为前缀的HTTP请求头的名字转换成小写字母。如将X-acs-OSS-Meta-Name: TaoBao
转换成x-acs-oss-meta-name: TaoBao
。 - 将上一步得到的所有HTTP阿里云规范头按照字典序进行升序排列。
- 删除请求头和内容之间分隔符两端出现的任何空格。如将
x-acs-oss-meta-name: TaoBao,Alipay
转换成x-acs-oss-meta-name:TaoBao,Alipay
。 - 将所有的头和内容用“\n”分隔符分隔拼成最后的CanonicalizedHeaders。
示例:原始header
x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method:HMAC-SHA1
x-acs-signature-version:1.0
x-acs-version: 2019-03-20GMT
示例:规范header
x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method:HMAC-SHA1
x-acs-signature-version:1.0
x-acs-version:2019-03-20
规范资源(CanonicalizedResource)
CanonicalizedResource表示想要访问资源的规范描述,需要将子资源和query参数一同按照字典序,从小到大排列并以“&”为分隔符生成子资源字符串(?
后的所有参数)。
示例:原始请求
/stacks?status=COMPLETE&name=test_alert
示例:规范请求
/stacks?name=test_alert&status=COMPLETE
Body
将请求的body用MD5算法加密,在进行base64编码,将结果添加到Content-MD5中。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论