为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名(Signature)进行身份验证。无论使用HTTP还是HTTPS协议提交请求,请求中都需要包含签名信息。

概述

RESTful API需要按以下格式在API请求头(Request Header)中添加Authorization参数进行签名。 

Authorization:acs AccessKeyId:Signature
其中:
  • acs:表示阿里云服务,固定标识不可修改。
  • AccessKeyId:调用者调用API所用的密钥ID。
  • Signature:使用AccessKey Secret对请求进行对称加密的签名。

计算签名

签名算法遵循RFC 2104 HMAC-SHA1规范,使用AccessKey Secret对编码、排序后的整个请求串计算HMAC值作为签名。签名的元素是请求自身的一些参数,由于每个API请求内容不同,所以签名的结果也不尽相同。

Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(
StringToSign)) )
完成以下操作,计算签名:
  1. 构建待签名字符串。
    待签名字符串(StringToSign)是API请求拼装的字符串,用于计算签名,包括:

    待签名字符串必须按照以下顺序构造。

    StringToSign = 
       //HTTP协议Header。
        HTTP-Verb + "\n" +
        Accept + "\n" +
        Content-MD5 + "\n" +//Body的MD5值放在此处。
        Content-Type + "\n" +
        Date + "\n" +
       //阿里云协议Header(CanonicalizedHeaders)。
        CanonicalizedHeaders +
       //签名中如何包含CanonicalizedResource(规范资源)。
        CanonicalizedResource

    原始请求示例如下:

    POST /stacks?name=test_alert&status=COMPLETE HTTP/1.1
Host: ***.aliyuncs.com
Accept: application/json
Content-MD5: ChDfdfwC+Tn87******w7Q==
Content-Type: application/x-www-form-urlencoded;charset=utf-8
Date: Thu, 22 Feb 2018 07:46:12 GMT 
x-acs-signature-nonce: 550e8400-e29b-41d4-a716-44665544****
x-acs-signature-method: HMAC-SHA1
x-acs-signature-version: 1.0
x-eventbridge-version: 2020-04-01

    规范请求示例如下:

    POST
application/json
ChDfdfwC+Tn87******w7Q==
application/x-www-form-urlencoded;charset=utf-8
Thu, 22 Feb 2018 07:46:12 GMT
x-acs-signature-nonce:550e8400-e29b-41d4-a716-44665544****
x-acs-signature-method:HMAC-SHA1
x-acs-signature-version:1.0
x-eventbridge-version:2020-04-01
/stacks?name=test_alert&status=COMPLETE
  2. 添加签名。

    将计算好的签名按照以下格式添加到请求的Header中。

    Authorization:acs AccessKeyId:Signature

HTTP协议Header

计算签名必须包含以下参数,并按字典顺序排列。若值不存在则以“\n”补齐。

  • Accept :客户端需要的返回值类型,取值:application/json | application/xml
  • Content-MD5:HTTP协议消息体的128-bit MD5散列值转换成Base64编码的结果。
  • Content-Type:RFC 2616中定义的HTTP请求内容类型。
  • Date:HTTP 1.1协议中规定的GMT时间。例如:Wed, 05 Sep. 2012 23:00:00 GMT。
    说明 计算签名的时候不转换参数的Key。
原始Header示例如下:
Accept: application/json
Content-MD5: ChDfdfwC+Tn87******w7Q==
Content-Type: application/x-www-form-urlencoded;charset=utf-8
Date: Thu, 22 Feb 2018 07:46:12 GMT
规范Header示例如下:
application/json
ChDfdfwC+Tn87******w7Q==
application/x-www-form-urlencoded;charset=utf-8
Thu, 22 Feb 2018 07:46:12 GMT

阿里云协议Header (CanonicalizedHeaders)

阿里云规范头,非标准HTTP头部信息,是请求中出现的以x-acs-为前缀的参数。请求中必须包含以下参数:
  • x-acs-signature-nonce:唯一随机数,用于防止网络重放攻击。在不同请求间要使用不同的随机数值。
  • x-acs-signature-method:签名算法,只支持HMAC-SHA1算法。
  • x-acs-signature-version:签名版本,取值:1.0
  • x-eventbridge-version:API版本号,请参照各产品的API文档。

根据以下步骤构造阿里云规范头:

  1. 将所有以x-acs-为前缀的HTTP请求头的名字转换成小写字母。

    例如将X-acs-OSS-Meta-Name: TaoBao转换成x-acs-oss-meta-name: TaoBao

  2. 将步骤1得到的所有HTTP阿里云规范头按照字典序进行升序排列。
  3. 删除请求头和内容之间分隔符两端出现的任何空格。

    例如将x-acs-oss-meta-name: TaoBao,Alipay转换成x-acs-oss-meta-name:TaoBao,Alipay

  4. 将所有的头和内容用“\n”分隔符分隔拼成最后的CanonicalizedHeaders。

原始Header示例如下:

x-acs-signature-nonce: 550e8400-e29b-41d4-a716-44665544****
x-acs-signature-method: HMAC-SHA1
x-acs-signature-version: 1.0
x-eventbridge-version: 2020-04-01GMT

规范Header示例如下:

x-acs-signature-nonce: 550e8400-e29b-41d4-a716-44665544****
x-acs-signature-method: HMAC-SHA1
x-acs-signature-version: 1.0
x-eventbridge-version: 2020-04-01

规范资源(CanonicalizedResource)

CanonicalizedResource表示想要访问资源的规范描述,需要将子资源和query参数一起按照字典序进行升序排序并以“&”为分隔符生成子资源字符串,即问号(?)后的所有参数。

原始请求示例如下:
/stacks?status=COMPLETE&name=test_alert
规范请求示例如下:
/stacks?name=test_alert&status=COMPLETE

Body

将请求的Body用MD5算法加密,再进行Base64编码,将结果添加到Content-MD5中。