本文主要介紹簽名機制的相關概念和處理方法。
Auto Scaling會對每個訪問的請求進行身分識別驗證,所以無論使用HTTP還是HTTPS協議提交請求,都需要在請求中包含簽名(Signature)資訊。Auto Scaling通過使用AccessKey ID和AccessKey Secret進行對稱式加密的方法來驗證請求的寄件者身份。AccessKey ID和AccessKey Secret由阿里雲官方頒發給訪問者(可以通過阿里雲官方網站申請和管理),其中AccessKey ID用於標識訪問者的身份;AccessKey Secret是用於加密簽名字串和伺服器端驗證簽名字串的密鑰,必須嚴格保密,只有阿里雲和使用者知道。
使用者在訪問時,按照下面的方法對請求進行簽名處理:
使用請求參數構造正常化的請求字串(Canonicalized Query String)
按照參數名稱的字母順序對請求中所有的請求參數(包括文檔中描述的公用請求參數和給定了的請求介面的自訂參數,但不能包括公用請求參數中提到的Signature參數本身)進行排序。
說明當使用GET方法提交請求時,這些參數就是請求URI中的參數部分(即URI中“?”之後由“&”串連的部分)。
對每個請求參數的名稱和值進行編碼。名稱和值要使用UTF-8字元集進行URL編碼,URL編碼的編碼規則是:
對於字元A-Z、a-z、0-9以及字元“-”、“_”、“.”、“~”不編碼;
對於其他字元編碼成“%XY”的格式,其中XY是字元對應ASCII碼的16進位表示。比如英文的雙引號對應的編碼就是“%22”;
對於擴充的UTF-8字元,編碼成“%XY%ZA…”的格式;
注意英文空格要被編碼成“%20”,而不是加號“+”。
說明一般支援URL編碼的庫(比如Java中的java.net.URLEncoder)都是按照“application/x-www-form-urlencoded”的MIME類型的規則進行編碼的。實現時可以直接使用這類方式進行編碼,把編碼後的字串中的加號“+”替換成“%20”、星號“*”替換成“%2A”、“%7E”替換回波浪號“~”,即可得到上述規則描述的編碼字串。
對編碼後的參數名稱和值使用英文等號“=”進行串連。
再把英文等號串連得到的字串按參數名稱的字母順序依次使用“&”符號串連,即得到正常化請求字串。
使用上一步構造的正常化字串,按照下面的規則構造用於計算簽名的字串:
StringToSign= HTTPMethod + "&" + percentEncode("/") + "&" + percentEncode(CanonicalizedQueryString)HTTPMethod是提交請求用的HTTP方法,比如GET。percentEncode(“/”)是按照1.b中描述的URL編碼規則對字元“/”進行編碼得到的值,即“%2F”。percentEncode(CanonicalizedQueryString)是對第1步中構造的正常化請求字串按1.b中描述的URL編碼規則編碼後得到的字串。
按照RFC2104的定義,使用上面的用於簽名的字串計算簽名HMAC值。
說明計算簽名時使用的Key就是使用者持有的AccessKeySecret並加上一個
&字元(ASCII:38),使用的雜湊演算法是SHA1。按照Base64編碼規則把上面的HMAC值編碼成字串,即得到簽名值(Signature)。
將得到的簽名值作為Signature參數添加到請求參數中,即完成請求籤名的過程。
說明得到的簽名值在作為最後的請求參數值提交給ECS伺服器的時候,要和其他參數一樣,按照RFC3986的規則進行URL編碼。
以DescribeScalingGroups為例,簽名前的請求URL如下:
http://ess.aliyuncs.com/?TimeStamp=2014-08-15T11%3A10%3A07Z&Format=xml&AccessKeyId=testid&Action=DescribeScalingGroups&SignatureMethod=HMAC-SHA1&RegionId=cn-qingdao&SignatureNonce=1324fd0e-e2bb-4bb1-917c-bd6e437f1710&SignatureVersion=1.0&Version=2014-08-28則StringToSign顯示如下:
GET&%2F&AccessKeyId%3Dtestid&Action%3DDescribeScalingGroups&Format%3Dxml&RegionId%3Dcn-qingdao&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3D1324fd0e-e2bb-4bb1-917c-bd6e437f1710&SignatureVersion%3D1.0&TimeStamp%3D2014-08-15T11%253A10%253A07Z&Version%3D2014-08-28假如使用的AccessKey ID是“testid”,AccessKey Secret是“testsecret”,用於計算HMAC的Key就是“testsecret&”,則計算得到的簽名值是“SmhZuLUnXmqxSEZ%2FGqyiwGqmf%2BM=”。
簽名後的請求URL如下(注意增加了Signature參數):
http://ess.aliyuncs.com/?TimeStamp=2014-08-15T11%3A10%3A07Z&Format=xml&AccessKeyId=testid&Action=DescribeScalingGroups&SignatureMethod=HMAC-SHA1&RegionId=cn-qingdao&SignatureNonce=1324fd0e-e2bb-4bb1-917c-bd6e437f1710&SignatureVersion=1.0&Version=2014-08-28&Signature=SmhZuLUnXmqxSEZ%2FGqyiwGqmf%2BM%3D
關於如何進行簽名並提交請求的詳細樣本,請參見附錄 如何調用介面。