446      阿裏雲  技術社區[雲棲]

簽名機製__調用方式_API 參考_雲服務器 ECS-阿裏雲

ECS 服務會對每個訪問的請求進行身份驗證，所以無論使用 HTTP 還是 HTTPS 協議提交請求，都需要在請求中包含簽名（Signature）信息。ECS 通過使用 Access Key ID 和 Access Key Secret 進行對稱加密的方法來驗證請求的發送者身份。Access Key ID 和 Access Key Secret 由阿裏雲官方頒發給訪問者（可以通過阿裏雲官方網站申請和管理），其中 Access Key ID 用於標識訪問者的身份；Access Key Secret 是用於加密簽名字符串和服務器端驗證簽名字符串的密鑰，必須嚴格保密，隻有阿裏雲和用戶知道。

用戶在訪問時，按照下麵的方法對請求進行簽名處理：

1. 使用請求參數構造規範化的請求字符串（Canonicalized Query String）
   (a) 參數排序。 按照參數名稱的字典順序對請求中所有的請求參數（包括“公共請求參數”和接口的自定義參數，但不能包括“公共請求參數”中提到的Signature 參數本身）進行排序。
   注：當使用 GET 方法提交請求時，這些參數就是請求 URI 中的參數部分（即 URI 中“?”之後由“&”連接的部分）。
   

   (b) 參數編碼。 對排序之後的請求參數的名稱和值分別用UTF-8字符集進行URL編碼。編碼的規則如下：
   

       i.  對於字符 A-Z、a-z、0-9 以及字符“-”、“_”、“.”、“~”不編碼；
       ii. 對於其他字符編碼成 “%XY” 的格式，其中 XY 是字符對應 ASCII 碼的 16 進製表示。比如英文的雙引號（”）對應的編碼就是 %22
       iii.對於擴展的 UTF-8 字符，編碼成 “%XY%ZA…” 的格式；
       iv. 需要說明的是英文空格（ ）要被編碼是 %20，而不是加號（+）。
   

   注：該編碼方式和一般采用的“application/x-www-form-urlencoded” MIME格式編碼算法(比如Java標準庫中的 java.net.URLEncoder的實現) 相似, 但又有所不同。 實現時, 可以先用標準庫的方式進行編碼, 然後把編碼後的字符串中加號（+）替換成 %20、星號（*）替換成 %2A、%7E 替換回波浪號（~），即可得到上述規則描述的編碼字符串。這個算法可以用下麵的 percentEncode 方法來實現：

     private static final String ENCODING = "UTF-8";
   
     private static String percentEncode(String value) throws UnsupportedEncodingException {
        return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
    }
   

   (c) 將編碼後的參數名稱和值用英文等號（=）進行連接。

   (d) 將等號連接得到的參數組合按步驟(a)排好的順序依次使用&符號連接，即得到規範化請求字符串。

2. 將上一步構造的規範化字符串按照下麵的規則構造成待簽名的字符串：
   

    StringToSign=
        HTTPMethod + “&” +
        percentEncode(“/”) + ”&” +
         percentEncode(CanonicalizedQueryString)
   

   其中 HTTPMethod 是提交請求用的 HTTP 方法，比如 GET。
   percentEncode(“/”) 是按照 1.b 中描述的 URL 編碼規則對字符 “/” 進行編碼得到的值，即 “%2F”。
   percentEncode(CanonicalizedQueryString) 是對第 1 步中構造的規範化請求字符串按 1.b 中描述的 URL 編碼規則編碼後得到的字符串。

3. 按照 RFC2104 的定義，計算待簽名字符串 StringToSign 的 HMAC 值。注意：計算簽名時使用的 Key 就是用戶持有的 Access Key Secret 並加上一個 “&” 字符(ASCII:38)，使用的哈希算法是 SHA1。

4. 按照 Base64 編碼規則把上麵的 HMAC 值編碼成字符串，即得到簽名值（Signature）。

5. 將得到的簽名值作為 Signature 參數添加到請求參數中，即完成對請求簽名的過程。
   注意：得到的簽名值在作為最後的請求參數值提交給ECS服務器的時候，要和其他參數一樣，按照 RFC3986 的規則進行 URL 編碼。

   以 DescribeRegions 為例，假設使用的 Access Key Id 是 “testid”， Access Key Secret 是 “testsecret”。 那麼簽名前的請求 URL 為：

   https://ecs.aliyuncs.com/?TimeStamp=2016-02-23T12:46:24Z&Format=XML&AccessKeyId=testid&Action=DescribeRegions&SignatureMethod=HMAC-SHA1&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2014-05-26&SignatureVersion=1.0
   

   而計算得到的待簽名字符串 StringToSign 為：

   GET&%2F&AccessKeyId%3Dtestid%26Action%3DDescribeRegions%26Format%3DXML%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf%26SignatureVersion%3D1.0%26TimeStamp%3D2016-02-23T12%253A46%253A24Z%26Version%3D2014-05-26
   

   因為Access Key Secret 是 “testsecret”，所以用於計算 HMAC 的 Key 為 “testsecret&”，計算得到的簽名值是：
   

   CT9X0VtwR86fNWSnsc6v8YGOjuE=
   

   將簽名作為Signature參數加入到URL請求中， 得到最後的URL 為：

   https://ecs.aliyuncs.com/?SignatureVersion=1.0&Action=DescribeRegions&Format=XML&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2014-05-26&AccessKeyId=testid&Signature=CT9X0VtwR86fNWSnsc6v8YGOjuE%3D&SignatureMethod=HMAC-SHA1&TimeStamp=2016-02-23T12%3A46%3A24Z
   

   關於如何進行簽名並提交請求的詳細示例，請參見附錄：如何調用接口。

最後更新：2016-11-23 16:03:50

  上一篇： API 概覽__API 參考_雲服務器 ECS-阿裏雲

  下一篇： RAM 中可對 ECS 資源進行授權的 Action__借助 RAM 實現子賬號對主賬號的 ECS 資源訪問_API 參考_雲服務器 ECS-阿裏雲