主题消息:HTTP订阅签名

轻量消息队列(原 MNS)推送请求头中,Authorization字段的值是轻量消息队列(原 MNS)根据待签名字符串,用SHA1-RSA签名算法生成的签名。本文介绍Endpoint如何使用公钥对签名进行验证。

步骤一:获取X509证书

轻量消息队列(原 MNS)发送给Endpoint的HTTP请求头中,x-mns-signing-cert-url指定了签名证书的地址,您需要通过Base64解码,获取该签名文件URL地址,再从中提取出签名的公钥。

说明

仅当签名证书的地址前缀为https://mnstest.oss-cn-hangzhou.aliyuncs.com/时,该证书合法。否则,该证书不合法。更多信息,请参见如何确认轻量消息队列(原 MNS)推送请求中的公钥证书地址是阿里云官方的

步骤二:构造待签名字符串(StringToSign)

按照以下伪代码构造待签名的字符串(StringToSign)

StringToSign = HttpMethod + "\n" 
         + CONTENT-MD5 + "\n"     
         + CONTENT-TYPE + "\n" 
         + DATE + "\n" 
         + CanonicalizedMNSHeaders
         + CanonicalizedResource;

其中,各参数的含义如下:

参数

描述

HttpMethod

大写的HTTP方法。例如:PUT、GET、POST、DELETE。

Content-Md5

请求内容数据的MD5值,若无则为空。

CONTENT-TYPE

请求内容的类型,若无则为空。

DATE

本次操作的时间。

  • 格式为:Thu, 07 Mar 2012 18:49:58 GMT。如果用x-mns-date替代DATE,则DATE不能填空,需用x-mns-date的值替换。

  • 此参数不能为空,目前只支持GMT格式。

  • 如果请求时间和轻量消息队列(原 MNS)服务器时间相差超过15分钟,轻量消息队列(原 MNS)会判定此请求不合法,返回错误码400。更多错误信息及错误码,请参见错误码

CanonicalizedMNSHeaders

HTTP中的x-mns-开头的字段组合。该字段在签名验证前需要符合以下规范:

  • Header的key需要变成小写(toLowerCase)。

  • Header自小到大排序。

  • 拼接伪代码。

    // 原始请求Header
    Map<String, String> httpHeaders = request.getHeaders();
    // 排序和小写
    sortHeadersKeyAndToLowerCase(httpHeaders);
    // 拼接
    Set<String> keySet = httpHeaders.keySet();
    for (String key : keySet) {
        if (key.startsWith("x-mns-")) {
            CanonicalizedMNSHeaders.append(key).append(":")
                .append(httpHeaders.get(key)).append("\n");
        }
    }

CanonicalizedResource

HTTP所请求资源的URI,是指对应订阅配置的HTTP接收端地址去除域名端口的部分。例如配置的接收端地址是http://123.123.XX.XX:8080/api/test?code=200,则URI是/api/test?code=200;如果接收端地址是http://www.aliyun.com/mns/help,则URI是/mns/help

待签名字符串示例:

POST
ZDgxNjY5ZjFlMDQ5MGM0YWMwMWE5ODlmZDVlYmQxYjI=
text/xml;charset=utf-8
Wed, 25 May 2016 10:46:14 GMT
x-mns-request-id:57458276F0E3D56D7C00****
x-mns-signing-cert-url:aHR0cDovL21uc3Rlc3Qub3NzLWNuLWhhbmd6aG91LmFsaXl1bmNzLmNvbS94NTA5X3B1YmxpY19jZXJ0aWZpY2F0ZS5w****
x-mns-version:2015-06-06
/notifications       

步骤三:Authorization解密

对Authorization签名字段进行Base64解码后,使用从步骤一:获取X509证书中提取的公钥对其进行解密。

步骤四:认证

比较步骤二:构造待签名字符串(StringToSign)生成的待签名字符串与步骤三:Authorization解密的结果是否一致。如果结果一致,说明请求来自轻量消息队列(原 MNS),访问合法;如果结果不一致,说明访问请求非法,拒绝请求。

Java示例代码

public class SignDemo {
    private Boolean authenticate(String method, String uri, Map<String, String> headers) {
        try {
            //获取证书的URL。
            if (!headers.containsKey("x-mns-signing-cert-url")) {
                System.out.println("x-mns-signing-cert-url Header not found");
                return false;
            }
            String cert = headers.get("x-mns-signing-cert-url");
            if (cert.isEmpty()) {
                System.out.println("x-mns-signing-cert-url empty");
                return false;
            }
            cert = new String(Base64.decodeBase64(cert));
            System.out.println("x-mns-signing-cert-url:\t" + cert);

            //根据URL获取证书,并从证书中获取公钥。
            URL url = new URL(cert);
            HttpURLConnection conn = (HttpURLConnection) url.openConnection();
            DataInputStream in = new DataInputStream(conn.getInputStream());
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            Certificate c = cf.generateCertificate(in);
            PublicKey pk = c.getPublicKey();

            //获取待签名字符串。
            String str2sign = getSignStr(method, uri, headers);
            System.out.println("String2Sign:\t" + str2sign);

            //对Authorization字段做Base64解码。
            String signature = headers.get("Authorization");
            byte[] decodedSign = Base64.decodeBase64(signature);

            //认证。
            java.security.Signature signetcheck = java.security.Signature.getInstance("SHA1withRSA");
            signetcheck.initVerify(pk);
            signetcheck.update(str2sign.getBytes());
            Boolean res = signetcheck.verify(decodedSign);
            return res;
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }

    private String getSignStr(String method, String uri, Map<String, String> headers) {
        StringBuilder sb = new StringBuilder();
        sb.append(method);
        sb.append("\n");
        sb.append(safeGetHeader(headers, "Content-md5"));
        sb.append("\n");
        sb.append(safeGetHeader(headers, "Content-Type"));
        sb.append("\n");
        sb.append(safeGetHeader(headers, "Date"));
        sb.append("\n");

        List<String> tmp = new ArrayList<String>();
        for (Map.Entry<String, String> entry : headers.entrySet()) {
            if (entry.getKey().startsWith("x-mns-")) {
                tmp.add(entry.getKey() + ":" + entry.getValue());
            }
        }
        Collections.sort(tmp);

        for (String kv : tmp) {
            sb.append(kv);
            sb.append("\n");
        }

        sb.append(uri);
        return sb.toString();
    }

    private String safeGetHeader(Map<String, String> headers, String name) {
        if (headers.containsKey(name)) {
            return headers.get(name);
        } else {
            return "";
        }
    }

    public static void main(String[] args) {
        SignDemo sd = new SignDemo();
        Map<String, String> headers = new HashMap<String, String>();
        headers.put("Authorization", "Mko2Azg9fhCw8qR6G7AeAFMyzjO9qn7LDA5/t9E+6X5XURXTqBUuhpK+K55UNhrnlE2UdDkRrwDxsaDP5ajQ****");
        headers.put("Content-md5", "M2ViOTE2ZDEyOTlkODBjMjVkNzM4YjNhNWI3ZWQ1****");
        headers.put("Content-Type", "text/xml;charset=utf-8");
        headers.put("Date", "Tue, 23 Feb 2016 09:41:06 GMT");
        headers.put("x-mns-request-id", "56CC2932F0E3D5BD5306****");
        headers.put("x-mns-signing-cert-url", "aHR0cDovL21uc3Rlc3Qub3NzLWNuLWhhbmd6aG91LmFsaXl1bmNzLmNvbS94NTA5X3B1YmxpY19jZXJ0aWZpY2F0ZS5w****");
        headers.put("x-mns-version", "2015-06-06");
        Boolean res = sd.authenticate("POST", "/notifications", headers);
        System.out.println("Authenticate result:" + res);
    }
}