Redis 服務會對每個訪問的請求進行身分識別驗證,所以無論使用 HTTP 還是 HTTPS 協議提交請求,都需要在請求中包含簽名(Signature)資訊。Redis 服務通過使用 Access Key ID 和 Access Key Secret 進行對稱式加密的方法來驗證請求的寄件者身份。

Access Key ID 和 Access Key Secret 由阿里雲官方頒發給訪問者(可以通過阿里雲官方網站申請和管理),其中 Access Key ID 用於標識訪問者的身份;Access Key Secret 是用於加密簽名字串和伺服器端驗證簽名字串的密鑰,必須嚴格保密,只有阿里雲和使用者知道。

簽名處理

使用者在訪問時,按照下面的方法對請求進行簽名處理:
  1. 使用請求參數構造正常化的請求字串(Canonicalized Query String)。
    1. 按照參數名稱的字典順序對請求中所有的請求參數(包括文檔中描述的“公用請求參數”和指定請求介面的自訂參數,但不能包括“公用請求參數”中提到 Signature 參數本身)進行排序。
      注意 當使用 GET 方法提交請求時,這些參數就是請求 URI 中的參數部分(即 URI 中“?”之後由“&”串連的部分)。
    2. 對每個請求參數的名稱和值進行編碼。
      名稱和值要使用 UTF-8 字元集進行 URL 編碼。URL 編碼的編碼規則如下:
      • 對於字元 A~Z、a~z、0~9 以及字元“-”、“_”、“.”、“~”不編碼;
      • 對於其它字元編碼成 %XY 的格式,其中 XY 是字元對應 ASCII 碼的 16 進位表示。比如英文的雙引號(”)對應的編碼為 %22
      • 對於擴充的 UTF-8 字元,編碼成 %XY%ZA… 的格式;
      • 英文空格( )要編碼成 %20,而不是加號(+)。
      注意 一般支援 URL 編碼的庫(比如 Java 中的 java.net.URLEncoder)都是按照 application/x-www-form-urlencoded的 MIME 類型的規則進行編碼的。實現時可以直接使用這類方式進行編碼,把編碼後的字串中加號(+)替換成 %20、星號(*)替換成 %2A%7E替換回波浪號(~),即可得到上述規則描述的編碼字串。
    3. 對編碼後的參數名稱和值使用英文等號(=)進行串連。
    4. 再把英文等號串連得到的字串按參數名稱的字典順序依次使用&符號串連,即得到正常化請求字串。
  2. 使用上一步構造的正常化字串按照下面的規則構造用於計算簽名的字串:
     StringToSign=
 HTTPMethod + “&” +
 percentEncode(“/”) + ”&” +
 percentEncode(CanonicalizedQueryString)
    其中:
    • HTTPMethod 是提交請求用的 HTTP 方法,比如 GET。
    • percentEncode(“/”) 是按照步驟 1.b 中描述的 URL 編碼規則對字元 “/” 進行編碼得到的值,即 %2F
    • percentEncode(CanonicalizedQueryString) 是對步驟 1 中構造的正常化請求字串按步驟 1.b 中描述的 URL 編碼規則編碼後得到的字串。
  3. 按照 RFC2104 的定義,使用上面的用於簽名的字串計算簽名 HMAC 值。
    注意 計算簽名時使用的 Key 就是使用者持有的 Access Key Secret 並加上一個“&”字元(ASCII:38),使用的雜湊演算法是 SHA1。
  4. 按照 Base 64 編碼規則把上面的 HMAC 值編碼成字串,即得到簽名值(Signature)。
  5. 將得到的簽名值作為 Signature 參數添加到請求參數中,即完成對請求籤名的過程。
    注意 得到的簽名值在作為最後的請求參數值提交給 Redis 伺服器的時候,要和其他參數一樣,按照 RFC3986 的規則進行 URL 編碼。

樣本

以 DescribeDBInstances 為例,簽名前的請求 URL 如下:

http://r-kvstore.aliyuncs.com/?Timestamp=2013-06-01T10:33:56Z&Format=XML&AccessKeyId=testid&Action=DescribeInstances&SignatureMethod=HMAC-SHA1&RegionId=region1&SignatureNonce=NwDAxvLU6tFE0DVb&Version=2015-01-01&SignatureVersion=1.0
計算得到的待簽名字串 StringToSign 為: 
GET&%2F&AccessKeyId%3Dtestid&Action%3DDescribeInstances&Format%3DXML&RegionId%3Dregion1&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3DNwDAxvLU6tFE0DVb&SignatureVersion%3D1.0&Timestamp%3D2013-06-01T10%253A33%253A56Z&Version%3D2015-01-01

假如使用的 Access Key Id 是testid,Access Key Secret 是testsecret,用於計算 HMAC 的 Key 就是testsecret&,則計算得到的簽名值是 BIPOMlu8LXBeZtLQkJTw6iFvw1E=

簽名後的請求 URL 為(注意增加了 Signature 參數):

http://r-kvstore.aliyuncs.com/?Timestamp=2013-06-01T10%3A33%3A56Z&Format=XML&AccessKeyId=testid&Action=DescribeInstances&SignatureMethod=HMAC-SHA1&RegionId=region1&SignatureNonce=NwDAxvLU6tFE0DVb&SignatureVersion=1.0&Version=2015-01-01&Signature=BIPOMlu8LXBeZtLQkJTw6iFvw1E%3D