签名算法

事件总线EventBridge生成签名

1. 事件总线EventBridge生成一个临时secret。
2. 事件总线EventBridge使用私钥对临时secret加密，并放在header:x-eventbridge-signature-secret。
3. 事件总线EventBridge生成待签字符串。
   更多待签字符串生成规范，请参见待签名字符串生成规范。
4. 事件总线EventBridge默认使用HMAC-SHA1算法通过临时secret对待签数据进行加密生成加密值，并将签名算法写入header:x-eventbridge-signature-method。
5. 事件总线EventBridge将当前时间戳写入header:x-eventbridge-signature-timestamp。
6. 事件总线EventBridge将待签数据加密生成的HMAC-SHA1加密值使用Base64进行编码，然后将该值写入header:x-eventbridge-signature。
   公式如下所示：

   Signature = Base64( HMAC-SHA1( 临时secret, UTF-8-Encoding-Of(
   StringToSign)) )

事件目标校验签名

1. 事件目标根据x-eventbridge-signature-timestamp获取服务端发送请求的时间戳。
   • 如果当前时间距时间戳时间超过60s，事件目标认为该请求已经失效，防止重放攻击。
   • 如果当前时间距时间戳时间未超过60s，继续进行以下校验。
2. 事件目标判断x-eventbridge-signature-url是否为事件总线EventBridge官方合法证书来源，即域名格式是否为https://[RegionId]-eventbridge.oss-accelerate.aliyuncs.com。
   • 如果是官方合法证书来源，事件目标根据x-eventbridge-signature-url指定的地址从事件总线EventBridge获取公钥。
   • 如果不是官方合法证书来源，事件目标认为该请求不是从事件总线EventBridge发送的，事件目标不接受该事件。
3. 事件目标使用2中获取的公钥对x-eventbridge-signature-secret进行解密，获取临时secret。
4. 事件目标生成待签字符串。
   更多待签字符串生成规范，请参见待签名字符串生成规范。
5. 事件目标根据x-eventbridge-signature-method默认使用HMAC-SHA1算法通过临时指定的签名算法进行加密生成加密值。
6. 事件目标将待签数据生成的HMAC-SHA1加密值使用Base64进行编码生成signature。
7. 事件目标将事件总线EventBridge生成签名中生成的header:x-eventbridge-signature与6中生成的signature进行比较。
   • 如果两个签名相同，表示该请求是从事件总线EventBridge发送的，事件目标接收并处理该事件。
   • 如果两个签名不同，表示该请求不是从事件总线EventBridge发送的，事件目标不接受该事件。

待签名字符串生成规范

StringToSign = schema+"://"+目标地址+"path"+"?"+"queryParam" + "\n" + 官方固定header + "\n"  + body

服务端发送的请求消息的RequestHeader里携带了官方固定header参数，对官方固定header参数的解释如下：

• x-eventbridge-signature-timestamp：请求发送的时间戳。当发送时间和接收时间的间隔超过60s，该时间戳被认为失效，生成签名失败以防止重放攻击。
• x-eventbridge-signature-method：签名算法。默认为HMAC-SHA1算法。
• x-eventbridge-signature-version：签名版本。默认为1.0。
• x-eventbridge-signature-url：签名证书地址。
• x-eventbridge-signature-token：用户自定义签名Token。该参数可以选填，如果您填写了该参数，需要在客户端生成签名时传入该token。使用说明，请参见路由到HTTP端点地址。