签名机制

对于每一次HTTP或者HTTPS协议请求,我们会根据访问中的签名信息验证访问请求者身份。具体由使用AccessKeyID和AccessKeySecret对称加密验证实现。

说明

AccessKey相当于用户密码,AccessKey用于调用API,而用户密码用于登录ECS控制台。其中AccessKeyID是访问者身份,AccessKeySecret是加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密谨防泄露。更多详情,请参见创建AccessKey

概述

RESTful API需要按如下格式在API请求头(request header)中添加Authorization参数进行签名:

Authorization:acs:AccessKeyId:Signature

其中:

  • acs:Alibaba Cloud Service的缩写,固定标识不可修改。

  • AccessKeyId:调用者调用API所用的密钥ID。

  • Signature:使用AccessKey Secret对请求进行对称加密的签名。

步骤一:构造规范化请求字符串

  1. 排序参数。排序规则以首字母顺序排序,排序参数包括公共请求参数

    说明

    当使用GET方法提交请求时,这些参数就是请求URL中的参数部分,即URL中?之后由&连接的部分。

  2. 编码参数。使用UTF-8字符集规则编码请求参数和参数取值,编码规则如下:

    • 字符A~Z、a~z、0~9以及字符-、_、.、~不编码。

    • 其它字符编码成%XY的格式,其中XY是字符对应ASCII码的16进制。示例:半角双引号(")对应%22。

    • 扩展的UTF-8字符,编码成%XY%ZA…的格式。

    • 空格( )编码成%20,而不是加号(+)。该编码方式与application/x-www-form-urlencodedMIME格式编码算法相似,但又有所不同。如果您使用的是Java标准库中的java.net.URLEncoder,可以先用标准库中percentEncode编码,随后将编码后的字符中加号(+)替换为%20、星号(*)替换为%2A、%7E替换为波浪号(~),即可得到上述规则描述的编码字符串。

      private static final String ENCODING = "UTF-8";
      private static String percentEncode(String value) throws UnsupportedEncodingException {
         return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
      }
  3. 使用等号(=)连接编码后的请求参数和参数取值。

  4. 使用与号(&)连接编码后的请求参数,注意参数排序。

现在,您得到了规范化请求字符串(CanonicalizedQueryString),其结构遵循请求结构。

签名算法遵循RFC 2104 HMAC-SHA1规范,使用AccessSecret对编码、排序后的整个请求串计算HMAC值作为签名。签名的元素是请求自身的一些参数,由于每个API请求内容不同,所以签名的结果也不尽相同。

Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(
StringToSign)) )

完成以下操作,计算签名:

  1. 构建待签名字符串。待签名字符串(StringToSign)是API请求拼装的字符串,用于计算签名,包括:

    • HTTP协议Header

    • 阿里云协议Header(CanonicalizedHeaders)

    • 规范资源(CanonicalizedResource)

    • Body

    待签名字符串必须按照以下顺序构造。

    StringToSign = 
           //http协议Header
            HTTP-Verb + "\n" +
            Accept + "\n" +
            Content-MD5 + "\n" +//Body的MD5值放在此处
            Content-Type + "\n" +
            Date + "\n" +
           //阿里云协议header(CanonicalizedHeaders)
            CanonicalizedHeaders +
           //签名中如何包含CanonicalizedResource(规范资源)
            CanonicalizedResource

    示例:原始请求

    POST /config/all HTTP/1.1
    Host: gemp.cn-shanghai.aliyuncs.com
    Accept: application/json
    Content-MD5: ChDfdfwC+Tn874znq7Dw7Q==
    Content-Type: application/json;charset=utf-8
    Date: Thu, 22 Feb 2018 07:46:12 GMT 
    x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000
    x-acs-signature-method: HMAC-SHA1
    x-acs-signature-version: 1.0
    x-acs-version: 2021-04-13

    示例:规范请求

    POST
    application/json
    ChDfdfwC+Tn874znq7Dw7Q==
    application/json;charset=utf-8
    Thu, 22 Feb 2018 07:46:12 GMT
    x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000
    x-acs-signature-method:HMAC-SHA1
    x-acs-signature-version:1.0
    x-acs-version:2021-04-13
    /config/all
  2. 添加签名。将计算好的签名按照如下格式添加到RequestHeader中。

    Authorization: acs AccessKeyId:Signature

HTTP协议Header

计算签名必须包含以下参数,并按字典顺序排列;若值不存在则以\n补齐。

  • Accept :客户端需要的返回值类型,取值:application/json | application/xml

  • Content-MD5:HTTP协议消息体的128-bit MD5散列值转换成BASE64编码的结果。

  • Content-Type:RFC 2616中定义的HTTP请求内容类型。

  • Date:HTTP 1.1协议中规定的GMT时间,例如:Wed, 05 Sep. 2012 23:00:00 GMT。

    说明

    不包含key。

示例:原始header

Accept: application/json
Content-MD5: ChDfdfwC+Tn874znq7Dw7Q==
Content-Type: application/json;charset=utf-8
Date: Thu, 22 Feb 2018 07:46:12 GMT

示例:规范header

application/json
ChDfdfwC+Tn874znq7Dw7Q==
application/json;charset=utf-8
Thu, 22 Feb 2018 07:46:12 GMT

阿里云协议Header (CanonicalizedHeaders)

阿里云规范头,非标准HTTP头部信息,是请求中出现的以x-acs-为前缀的参数。请求中必须包含以下参数:

  • x-acs-signature-nonce:唯一随机数,用于防止网络重放攻击。在不同请求间要使用不同的随机数值。

  • x-acs-signature-version:签名版本,取值:1.0

  • x-acs-version:API版本号,请参照各产品的API文档。

完成以下操作,构造阿里云规范头:

  1. 将所有以x-acs-为前缀的HTTP请求头的名字转换成小写字母。如将X-acs-OSS-Meta-Name: TaoBao转换成x-acs-oss-meta-name: TaoBao

  2. 将上一步得到的所有HTTP阿里云规范头按照字典序进行升序排列。

  3. 删除请求头和内容之间分隔符两端出现的任何空格。如将x-acs-oss-meta-name: TaoBao,Alipay转换成x-acs-oss-meta-name:TaoBao,Alipay

  4. 将所有的头和内容用\n分隔符分隔拼成最后的CanonicalizedHeaders。

示例:原始header

x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method: HMAC-SHA1
x-acs-signature-version: 1.0
x-acs-version: 2021-04-13GMT

示例:规范header

x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000
x-acs-signature-method:HMAC-SHA1
x-acs-signature-version:1.0
x-acs-version:2021-04-13

规范资源(CanonicalizedResource)

CanonicalizedResource表示想要访问资源的规范描述,需要将子资源和query参数一同按照字典序,从小到大排列并以“&”为分隔符生成子资源字符串(?后的所有参数)。

示例:原始请求

/alerts/list?name=test_alert&status=COMPLETE

示例:规范请求

/alerts/list?name=test_alert&status=COMPLETE
说明

如果请求是一般的host +/config/all风格时,规范资源描述就是/config/all。

Body

将请求的body用MD5算法加密,再进行base64编码,将结果添加到Content-MD5中。