帮助文档
搜全部 搜本产品
全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
邮件推送

签名机制

更新时间:2018-01-25 17:39:14

注意:

  • 若使用 SDK,则无需查看签名机制。当前已提供 Java、PHP、C# 的 SDK。
  • 接口支持 GET 和 POST 提交请求,但是 GET 和 POST 的 StringToSign 不一样。

DirectMail 服务会对每个访问请求进行身份验证,所以无论使用 HTTP 还是 HTTPS 协议提交请求,都需要在请求中包含签名(Signature)信息。DirectMail 通过使用 AccessKeyID 和 AccessKeySecret 进行对称加密的方法来验证请求的发送者身份。AccessKeyID 和 AccessKeySecret 由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中 AccessKeyID 用于标识访问者的身份;AccessKeySecret 是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密。

在访问时,按照下面的方法对请求进行签名处理:

  1. 使用请求参数构造规范化的请求字符串(Canonicalized Query String)

    a) 按照参数名称的字典顺序,对请求中所有的请求参数(包括文档中描述的公共请求参数和给定的请求接口的自定义参数,但不能包括公共请求参数中提到 Signature 参数本身)进行排序。

    注意:当使用 GET 方法提交请求时,这些参数就是请求 URI 中的参数部分(即 URI 中 “?” 之后由 “&” 连接的部分)。

    b) 对每个请求参数的名称和值进行编码。名称和值要使用 UTF-8 字符集进行 URL 编码,URL 编码的编码规则是:

    • 对于字符 A-Z、a-z、0-9 以及字符 “-”、“_”、“.”、“~” 不编码;
    • 对于其他字符编码成 %XY 的格式,其中 XY 是字符对应 ASCII 码的 16 进制表示。比如半角的双引号(”)对应的编码就是 %22
    • 对于扩展的 UTF-8 字符,编码成 %XY%ZA… 的格式;
    • 需要说明的是半角的空格( )要被编码是 %20,而不是加号(+)。

    注意:一般支持 URL 编码的库(比如 Java 中的 java.net.URLEncoder)都是按照 application/x-www-form-urlencoded 的 MIME 类型的规则进行编码。可以直接使用这类方式进行编码,把编码后的字符串中加号(+)替换成 %20、星号(*)替换成 %2A、%7E 替换回波浪号(~),即可得到上述规则描述的编码字符串。

    c) 对编码后的参数名称和值使用半角的等号(=)进行连接。

    d) 再把半角的等号连接得到的字符串按参数名称的字典顺序,依次使用 “&” 符号连接,即得到规范化请求字符串。

  2. 使用上一步构造的规范化字符串按照下面的规则构造用于计算签名的字符串:

    1.  StringToSign=
    2.  HTTPMethod + “&” +
    3.  percentEncode(“/”) + ”&” +
    4.  percentEncode(CanonicalizedQueryString)

    其中 HTTPMethod 是提交请求用的 HTTP 方法,比如 GET、POST。

    percentEncode(“/”)是按照 1.b 中描述的 URL 编码规则对字符 “/” 进行编码得到的值,即 %2F

    percentEncode (CanonicalizedQueryString) 是对第 1 步中构造的规范化请求字符串按 1.b 中描述的 URL 编码规则编码后得到的字符串。

  3. 按照 RFC2104 的定义,使用上面的用于签名的字符串计算签名 HMAC 值。

    注意:计算签名时,使用的 Key 就是用户持有的 AccessKeySecret 加上一个 “&” 字符 (ASCII:38),使用的哈希算法是 SHA1。

  4. 按照 Base64 编码规则,把上面的 HMAC 值编码成字符串,即得到签名值(Signature)。

  5. 将得到的签名值作为 Signature 参数添加到请求参数中,即完成请求签名过程。

    注意:得到的签名值在作为最后的请求参数值提交给 DirectMail 服务器的时候,要和其他参数一样,按照 RFC3986 的规则进行 URL 编码)。

    以 SingleSendMail 接口,通过 HTTPS 发送 POST 请求调用说明为例:

    请求URL为:http://dm.aliyuncs.com/

    参数为:

    1. AccessKeyId=testid&AccountName=&Action=SingleSendMail&AddressType=1&Format=XML&HtmlBody=4&RegionId=cn-hangzhou&ReplyToAddress=true&SignatureMethod=HMAC-SHA1&SignatureNonce=c1b2c332-4cfb-4a0f-b8cc-ebe622aa0a5c&SignatureVersion=1.0&Subject=3&TagName=2&Timestamp=2016-10-20T06:27:56Z&ToAddress=1@test.com&Version=2015-11-23
    那么 StringToSign 就是 
    1. POST&%2F&AccessKeyId%3Dtestid&AccountName%3D%253Ca%2525b%2527%253E&Action%3DSingleSendMail&AddressType%3D1&Format%3DXML&HtmlBody%3D4&RegionId%3Dcn-hangzhou&ReplyToAddress%3Dtrue&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3Dc1b2c332-4cfb-4a0f-b8cc-ebe622aa0a5c&SignatureVersion%3D1.0&Subject%3D3&TagName%3D2&Timestamp%3D2016-10-20T06%253A27%253A56Z&ToAddress%3D1%2540test.com&Version%3D2015-11-23

假如使用的 AccessKeyId 是 testid,AccessKeySecret 是 testsecret,用于计算 HMAC 的 Key 就是 testsecret&,则计算得到的签名值是: 

  1. llJfXJjBW3OacrVgxxsITgYaYm0
签名后,请求 http://dm.aliyuncs.com/ 发起 POST 请求的 BODY 内容(注意:增加了 Signature 参数和修改请求头 Content-Type: application/x-www-form-urlencoded)。

  1. Signature=llJfXJjBW3OacrVgxxsITgYaYm0&AccessKeyId=testid&AccountName=<a%b'>&Action=SingleSendMail&AddressType=1&Format=XML&HtmlBody=4&RegionId=cn-hangzhou&ReplyToAddress=true&SignatureMethod=HMAC-SHA1&SignatureNonce=c1b2c332-4cfb-4a0f-b8cc-ebe622aa0a5c&SignatureVersion=1.0&Subject=3&TagName=2&Timestamp=2016-10-20T06:27:56Z&ToAddress=1@test.com&Version=2015-11-23
相关文档
相关产品
  • 邮件推送
    邮件推送(Direct Mail)是一款简单高效的电子邮件发送服...查看详情
  • 企业邮箱
    企业邮箱是以企业域名做后缀的邮箱,既能体现公司的品牌和形象,又能...查看详情
  • 云解析
    阿里云解析是阿里云为全网域名开放的域名智能解析服务,阿里云解...查看详情
本文导读目录