對于每一次HTTP或者HTTPS協(xié)議請求，我們會根據(jù)訪問中的簽名信息驗證訪問請求者身份。具體由使用AccessKeyID和AccessKeySecret對稱加密驗證實現(xiàn)。其中AccessKeyID是訪問者身份，AccessKeySecret是加密簽名字符串和服務(wù)器端驗證簽名字符串的密鑰，必須嚴格保密謹防泄露。

1. 指定請求參數(shù)

在代碼中指定請求參數(shù)，參數(shù)中需要包含公共請求頭和接口必備的參數(shù)信息。

說明 請求參數(shù)中不允許出現(xiàn)以Signature為key的參數(shù)。

去除簽名關(guān)鍵字Key：

if (paras.containsKey("Signature")) {
  paras.remove("Signature");
}

2. 根據(jù)參數(shù)Key排序（順序）

參考代碼如下：

java.util.TreeMap<String, String> sortParas = new java.util.TreeMap<String, String>();
.sortParas.putAll(paras);

3. 構(gòu)造待簽名的請求串

首先介紹下面會用到的特殊URL編碼這個是POP特殊的一種規(guī)則，即在一般的URLEncode后再增加三種字符替換：加號 （+）替換成 %20、星號 （*）替換成 %2A、 %7E 替換回波浪號 （~）參考代碼如下：

public static String specialUrlEncode(String value) throws Exception {
    return java.net.URLEncoder.encode(value, "UTF-8").replace("+", "%20").replace("*", "%2A").replace("%7E", "~");
}

構(gòu)造待簽名的請求串：把排序后的參數(shù)順序拼接成如下格式：

"&" + specialUrlEncode（參數(shù)Key） + "=" + specialUrlEncode（參數(shù)值）

參考代碼如下：

java.util.Iterator<String> it = sortParas.keySet().iterator();
StringBuilder sortQueryStringTmp = new StringBuilder();
while (it.hasNext()) {
    String key = it.next();
    sortQueryStringTmp.append("&").append(specialUrlEncode(key)).append("=").append(specialUrlEncode(paras.get(key)));
}
String sortedQueryString = sortQueryStringTmp.substring(1);// 去除第一個多余的&符號

打印上面的 sortQueryString。結(jié)果如下：

AccessKeyId=yourAccessId&Action=SegmentImage&Format=JSON&RegionId=cn-shanghai&SignatureMethod=HMAC-SHA1&SignatureNonce=3ed0a494-421e-4979-ab1e-f0e28072795a&SignatureVersion=1.0&Timestamp=2019-10-13T01%3A28%3A40Z&Url=http%3A%2F%2Fvigen-invi-cdn.alibaba.com%2Faliyun-doc%2Fpop%2Fimages%2Fsegment-image-src.jpg&Version=2019-06-25

對應(yīng)的未URL編碼的值（方便用戶對比）：

AccessKeyId=yourAccessId&Action=SegmentImage&Format=JSON&RegionId=cn-shanghai&SignatureMethod=HMAC-SHA1&SignatureNonce=3ed0a494-421e-4979-ab1e-f0e28072795a&SignatureVersion=1.0&Timestamp=2019-10-13T01:28:40Z&Url=http://vigen-invi-cdn.alibaba.com/aliyun-doc/pop/images/segment-image-src.jpg&Version=2019-06-25

按POP的簽名規(guī)則拼接成最終的待簽名串。規(guī)則如下：

HTTPMethod + “&” + specialUrlEncode(“/”) + ”&” + specialUrlEncode(sortedQueryString)

參考代碼如下：

StringBuilder stringToSign = new StringBuilder();
stringToSign.append("GET").append("&");
stringToSign.append(specialUrlEncode("/")).append("&");
stringToSign.append(specialUrlEncode(sortedQueryString));

這就完成了待簽名的請求字符串。打印結(jié)果如下：

POST&%2F&AccessKeyId%3DyourAccessId%26Action%3DSegmentImage%26Format%3DJSON%26RegionId%3Dcn-shanghai%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D39720f7f-373c-4b7c-9ec8-520fdc51741f%26SignatureVersion%3D1.0%26Timestamp%3D2019-10-13T02%253A15%253A41Z%26Url%3Dhttp%253A%252F%252Fvigen-invi-cdn.alibaba.com%252Faliyun-doc%252Fpop%252Fimages%252Fsegment-image-src.jpg%26Version%3D2019-06-25

4. 簽名

簽名采用HmacSHA1算法 + Base64，編碼采用UTF-8。參考代碼如下：

String sign = sign(accessSecret + "&", stringToSign.toString());
public static String sign(String accessSecret, String stringToSign) throws Exception {
    javax.crypto.Mac mac = javax.crypto.Mac.getInstance("HmacSHA1");
    mac.init(new javax.crypto.spec.SecretKeySpec(accessSecret.getBytes("UTF-8"), "HmacSHA1"));
    byte[] signData = mac.doFinal(stringToSign.getBytes("UTF-8"));
    return new sun.misc.BASE64Encoder().encode(signData);
}

參數(shù)說明：

1. accessSecret：你的AccessKeyId對應(yīng)的密鑰AccessSecret，特別說明：POP要求需要后面多加一個“&”字符，即accessSecret + “&”

2. stringToSign：即第三步生成的待簽名請求串

簽名后的結(jié)果打印如下：

sEl89yBxH69oS****=

5. 增加簽名結(jié)果到請求參數(shù)中，發(fā)送請求

說明 簽名也要做特殊URL編碼。

String Signature = specialUrlEncode(sign);// sEl89yBxH69o&****