为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名进行身份验证。

签名

API签名包含两部分:公共请求头(HTTP协议Header参数和阿里云协议Header参数)和CanonicalizedResource(规范资源),Body不计入签名。

AccessKey IDAccessKey Secret由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中AccessKey ID用于标识访问者的身份;AccessKey Secret是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密,只有阿里云和用户知道。

系统会对每个访问的请求进行验证,每个提交的请求都需要在请求中包含签名(Signature)信息。系统通过使用AccessKey IDAccessKey Secret进行对称加密的方法来验证请求的发送者身份。如果计算出来的验证码和提供的一样,即认为该请求是有效的;否则请求将被拒绝处理,并返回HTTP403错误。

请求要求将签名包含在HTTP Header中,格式为Authorization: acs [Access Key Id]:[Signature]

签名计算方法

签名计算方法如下:

Signature = base64(hmac-sha1(VERB + "\n"
            + ACCEPT + "\n" 
            + Content-MD5 + "\n"
            + Content-Type + "\n"
            + Date + "\n"
            + CanonicalizedHeaders + "\n"
            + CanonicalizedResource))
  • VERB表示HTTP的Method。比如示例中的PUT。
  • Accept客户端需要的返回值类型,支持application/json和application/xml。
  • Content-MD5表示请求内容数据的MD5值。
  • Content-Type表示请求内容的类型。
  • Date表示此次操作的时间,不能为空,目前只支持GMT格式。如果请求时间与服务器时间相差超过15分钟,系统会判定此请求不合法,并返回400错误。比如示例中的 Thu, 17 Mar 2018 18:00:00 GMT
  • CanonicalizedHeaders表示HTTP中以x-acs-开始的字段组合。
  • CanonicalizedResource表示HTTP所请求资源的URI(统一资源标识符)。比如/namespaces

CanonicalizedHeaders

CanonicalizedHeaders(即以x-acs-开头的Header)在签名验证前需要符合以下规范:

  1. 将所有以x-acs-为前缀的HTTP请求头的名字转换成小写字母。比如将X-ACS-Meta-Name: TaoBao转换为x-acs-meta-name: TaoBao。阿里云规范请求头的名字是大小写不敏感的,建议全部使用小写。
  2. 如果一个公共请求头的值部分过长,则需要处理其中的\t\n\r\f分隔符,将其替换为英文半角的空格。
  3. 将上一步得到的所有HTTP阿里云规范头按照字典序进行升序排列。
  4. 删除请求头和内容之间分隔符两端出现的任何空格。比如将x-acs-meta-name: TaoBao,Alipay转换为x-acs-meta-name:TaoBao,Alipay
  5. 将所有的头和内容用\n分隔符分隔拼成最后的CanonicalizedHeaders。

CanonicalizedResource

CanonicalizedResource表示客户想要访问资源的规范描述,需要将子资源和qurey一同按照字典序,从小到大排列并以&为分隔符生成子资源字符串(?后的所有参数)。

http://cr.cn-hangzhou.aliyuncs.com/repository?name=repository1&namespace=namespace1

CanonicalizedResource应该为:

/repository?name=repository1&namespace=namespace1