簽名機(jī)制
為保證API的安全調(diào)用,在調(diào)用API時阿里云會對每個API請求通過簽名(Signature)進(jìn)行身份驗證。無論使用HTTP還是HTTPS協(xié)議提交請求,都需要在請求中包含簽名信息。
概述
RESTful API需要按照如下格式在API請求頭(RequestHeader)中添加Authorization參數(shù)進(jìn)行簽名。
Authorization:acs:AccessKeyId:Signatureacs:Alibaba Cloud Service的縮寫,固定標(biāo)識不可修改。
AccessKeyId:調(diào)用者調(diào)用API所用的密鑰ID。
Signature:使用AccessKey Secret對請求進(jìn)行對稱加密的簽名。
計算簽名
簽名算法遵循RFC 2104 HMAC-SHA1規(guī)范,使用AccessSecret對編碼、排序后的整個請求串計算HMAC值作為簽名。簽名的元素是請求自身的一些參數(shù),由于每個API請求內(nèi)容不同,所以簽名的結(jié)果也不盡相同。
Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(
StringToSign)) )完成以下操作,計算簽名:
構(gòu)建待簽名字符串。
待簽名字符串(StringToSign)是API請求拼裝的字符串,用于計算簽名,包括:
HTTP協(xié)議Header
阿里云協(xié)議Header(CanonicalizedHeaders)
規(guī)范資源(CanonicalizedResource)
Body
待簽名字符串必須按照以下順序構(gòu)造。
StringToSign = //http協(xié)議Header HTTP-Verb + "\n" + Accept + "\n" + Content-MD5 + "\n" +//Body的MD5值放在此處 Content-Type + "\n" + Date + "\n" + //阿里云協(xié)議header(CanonicalizedHeaders) CanonicalizedHeaders + //簽名中如何包含CanonicalizedResource(規(guī)范資源) CanonicalizedResource示例:原始請求
POST /stacks?name=test_alert&status=COMPLETE HTTP/1.1 Host: ***.aliyuncs.com Accept: application/json Content-MD5: ChDfdfwC+Tn874znq7Dw7Q== Content-Type: application/x-www-form-urlencoded;charset=utf-8 Date: Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method: HMAC-SHA1 x-acs-signature-version: 1.0 x-acs-version: 2016-01-02示例:規(guī)范請求
POST application/json ChDfdfwC+Tn874znq7Dw7Q== application/x-www-form-urlencoded;charset=utf-8 Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method:HMAC-SHA1 x-acs-signature-version:1.0 x-acs-version:2016-01-02 /stacks?name=test_alert&status=COMPLETE添加簽名。
將計算好的簽名按照如下格式添加到RequestHeader中。
Authorization: acs AccessKeyId:Signature
HTTP協(xié)議Header
計算簽名必須包含以下參數(shù),并按字典順序排列;若值不存在則以\n補齊。
Accept :客戶端需要的返回值類型,取值:application/json | application/xml。
Content-MD5:HTTP協(xié)議消息體的128-bit MD5散列值轉(zhuǎn)換成BASE64編碼的結(jié)果。
Content-Type:RFC 2616中定義的HTTP請求內(nèi)容類型。
Date:HTTP 1.1協(xié)議中規(guī)定的GMT時間,例如:Wed, 05 Sep. 2012 23:00:00 GMT。
說明不包含key。
示例:原始Header
Accept: application/json
Content-MD5: ChDfdfwC+Tn874znq7Dw7Q==
Content-Type: application/x-www-form-urlencoded;charset=utf-8
Date: Thu, 22 Feb 2018 07:46:12 GMT示例:規(guī)范Header
application/json
ChDfdfwC+Tn874znq7Dw7Q==
application/x-www-form-urlencoded;charset=utf-8
Thu, 22 Feb 2018 07:46:12 GMT阿里云協(xié)議Header (CanonicalizedHeaders)
阿里云規(guī)范頭,非標(biāo)準(zhǔn)HTTP頭部信息,是請求中出現(xiàn)的以x-acs-為前綴的參數(shù)。請求中必須包含以下參數(shù):
x-acs-signature-nonce:唯一隨機(jī)數(shù),用于防止網(wǎng)絡(luò)重放攻擊。在不同請求間要使用不同的隨機(jī)數(shù)值。
x-acs-signature-version:簽名版本,取值:1.0。
x-acs-version:API版本號。
完成以下操作,構(gòu)造阿里云規(guī)范頭:
將所有以
x-acs-為前綴的HTTP請求頭的名字轉(zhuǎn)換成小寫字母。如將X-acs-OSS-Meta-Name: TaoBao轉(zhuǎn)換成x-acs-oss-meta-name: TaoBao。將上一步得到的所有HTTP阿里云規(guī)范頭按照字典序進(jìn)行升序排列。
刪除請求頭和內(nèi)容之間分隔符兩端出現(xiàn)的任何空格。如將
x-acs-oss-meta-name: TaoBao,Alipay轉(zhuǎn)換成x-acs-oss-meta-name:TaoBao,Alipay。將所有的頭和內(nèi)容用“\n”分隔符分隔拼成最后的CanonicalizedHeaders。
示例:原始Header
x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method: HMAC-SHA1
x-acs-signature-version: 1.0
x-acs-version: 2016-01-02GMT示例:規(guī)范Header
x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method:HMAC-SHA1
x-acs-signature-version:1.0
x-acs-version:2016-01-02規(guī)范資源(CanonicalizedResource)
CanonicalizedResource表示想要訪問資源的規(guī)范描述,需要將子資源和query參數(shù)一同按照字典序,從小到大排列并以“&”為分隔符生成子資源字符串(?后的所有參數(shù))。
示例:原始請求
/stacks?status=COMPLETE&name=test_alert示例:規(guī)范請求
/stacks?name=test_alert&status=COMPLETEBody
將請求的body用MD5算法加密,再進(jìn)行base64編碼,將結(jié)果添加到Content-MD5中。