STS服務會對每個訪問的請求進行身分識別驗證,所以無論使用HTTP還是HTTPS協議提交請求,都需要在請求中包含簽名(Signature)資訊。STS通過使用Access Key IDAccess Key Secret進行對稱式加密的方法來驗證請求的寄件者身份。Access Key IDAccess Key Secret由阿里雲官方頒發給訪問者(可以通過阿里雲官方網站申請和管理),其中Access Key ID用於標識訪問者的身份;Access Key Secret是用於加密簽名字串和伺服器端驗證簽名字串的密鑰,必須嚴格保密,只有阿里雲和使用者知道。

簽名步驟

  1. 使用請求參數構造正常化的請求字串(Canonicalized Query String)
    1. 按照參數名稱的字典順序對請求中所有的請求參數(包括文檔中描述的“公用請求參數”和給定了的請求介面的自訂參數,但不能包括“公用請求參數”中提到Signature參數本身)進行排序。
      说明 當使用GET方法提交請求時,這些參數就是請求URI中的參數部分(即URI中“?”之後由“&”串連的部分)。
    2. 對每個請求參數的名稱和值進行編碼。名稱和值要使用UTF-8字元集進行URL編碼,URL編碼的編碼規則是:
      • 對於字元 A-Z、a-z、0-9以及字元“-”、“_”、“.”、“~”不編碼;
      • 對於其他字元編碼成“%XY”的格式,其中XY是字元對應ASCII碼的16進位表示。比如英文的雙引號(")對應的編碼就是%22
      • 需要說明的是英文空格( )要被編碼是%20,而不是加號(+)。
      说明 一般支援URL編碼的庫(比如Java中的java.net.URLEncoder)都是按照“application/x-www-form-urlencoded”的MIME類型的規則進行編碼的。實現時可以直接使用這類方式進行編碼,把編碼後的字串中加號(+)替換成%20、星號(*)替換成%2A、%7E替換回波浪號(~),即可得到上述規則描述的編碼字串。
    3. 對編碼後的參數名稱和值使用英文等號(=)進行串連。
    4. 再把英文等號串連得到的字串按參數名稱的字典順序依次使用&符號串連,即得到正常化請求字串。
  2. 使用上一步構造的正常化字串按照下面的規則構造用於計算簽名的字串:
    StringToSign=
    HTTPMethod + “&” +
    percentEncode(“/”) + ”&” +
    percentEncode(CanonicalizedQueryString)

    其中HTTPMethod是提交請求用的HTTP方法,比GET。 percentEncode(“/”)是按照1.b中描述的URL編碼規則對字元“/”進行編碼得到的值,即“%2F”。

    percentEncode(CanonicalizedQueryString)是對第1步中構造的正常化請求字串按1.b中描述的URL編碼規則編碼後得到的字串。

  3. 按照RFC2104的定義,使用上面的用於簽名的字串計算簽名HMAC值。注意:計算簽名時使用的Key就是使用者持有的Access Key Secret並加上一個“&”字元(ASCII:38),使用的雜湊演算法是SHA1。
  4. 按照Base64編碼規則把上面的HMAC值編碼成字串,即得到簽名值(Signature)。
  5. 將得到的簽名值作為Signature參數添加到請求參數中,即完成對請求籤名的過程。 注意:得到的簽名值在作為最後的請求參數值提交給STS伺服器的時候,要和其他參數一樣,按照RFC3986的規則進行URL編碼)。

樣本

以AssumeRole為例,簽名前的請求URL為:

https://sts.aliyuncs.com/?SignatureVersion=1.0&Format=JSON&Timestamp=2015-09-01T05%3A57%3A34Z&RoleArn=acs%3Aram%3A%3A1234567890123%3Arole%2Ffirstrole&RoleSessionName=client&AccessKeyId=testid&SignatureMethod=HMAC-SHA1&Version=2015-04-01&Action=AssumeRole&SignatureNonce=571f8fb8-506e-11e5-8e12-b8e8563dc8d2

對應的StringToSign是:

GET&%2F&AccessKeyId%3Dtestid%26Action%3DAssumeRole%26Format%3DJSON%26RoleArn%3Dacs%253Aram%253A%253A1234567890123%253Arole%252Ffirstrole%26RoleSessionName%3Dclient%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D571f8fb8-506e-11e5-8e12-b8e8563dc8d2%26SignatureVersion%3D1.0%26Timestamp%3D2015-09-01T05%253A57%253A34Z%26Version%3D2015-04-01

假如使用的Access Key Id是“testid”,Access Key Secret是“testsecret”,用於計算HMAC的Key就是“testsecret&”,則計算得到的簽名值是:

gNI7b0AyKZHxDgjBGPDgJ1Ce3L4=

簽名後的請求URL為(注意增加了Signature參數):

https://sts.aliyuncs.com/?SignatureVersion=1.0&Format=JSON&Timestamp=2015-09-01T05%3A57%3A34Z&RoleArn=acs%3Aram%3A%3A1234567890123%3Arole%2Ffirstrole&RoleSessionName=client&AccessKeyId=testid&SignatureMethod=HMAC-SHA1&Version=2015-04-01&Signature=gNI7b0AyKZHxDgjBGPDgJ1Ce3L4%3D&Action=AssumeRole&SignatureNonce=571f8fb8-506e-11e5-8e12-b8e8563dc8d2