981
ECS API中Signature錯誤的排查方法
Signature的生成方法
將get中提交的參數(除了aks以外所有的參數)按照一定的組成規則拚成一個字符串,前麵再加上GET&/&組成StringToSign,然後對StringToSign做 HMAC計算,以Access Key Secret+一個“&”號為HMAC計算的key,最終算出的字符串就是Signature。
排查思路
若碰到反饋Signature錯誤,可以排查以下幾點:
1. 在構造“StringToSign”時是否對key值做了A-Z的字典排序
2. 是否將所有的參數都放入了StringToSign
3. 計算前是否對StringToSign中的值做了urlencode,即將一些特殊的字符替換成類似%3D這樣的字符串,如“=”需要替換成“%3D”,“/”要替換成“%2F”等,參見下述說明:
a、 對於字符 A-Z、a-z、0-9 以及字符“-”、“_”、“.”、“~”不編碼;
b、 對於其他字符編碼成 “%XY” 的格式,其中 XY 是字符對應 ASCII 碼的 16 進製表示。比如英文的雙引號(”)對應的編碼就是 %22
c、 對於擴展的 UTF-8 字符,編碼成 “%XY%ZA…” 的格式;
d、 需要說明的是英文空格( )要被編碼是 %20,而不是加號(+)。
4. 是否使用了指定的算法,目前Signature需要使用HMAC-SHA1算法,在Java中通過Mac mac = Mac.getInstance("HmacSHA1");來獲得HMAC-SHA1算法的對象
5. 檢查HMAC-SHA1運算時是否是將Access Key Secret+&作為key(如Access Key Secret為abc,那麼使用“abc&”作為運算的key),運算過程編碼使用UTF-8編碼
以下是一個例子
1、 比如說要查詢可用的鏡像,先加入除了Signature以外所有的參數(值被忽略):
[ImageOwnerAlias, SignatureVersion, Action, Format, PageSize, SignatureNonce, Version, AccessKeyId, SignatureMethod, RegionId, Timestamp]
2、 對它們進行字典排序:
[AccessKeyId, Action, Format, ImageOwnerAlias, PageSize, RegionId, SignatureMethod, SignatureNonce, SignatureVersion, Timestamp, Version]
3、 挨個將它們拚接在一起(注意這個時候Timestamp中的值就已經經過了urlencode了,將“:”替換為“%3A”):
AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26
4、 在前麵加上GET&/&:
GET&/&AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26
5、 再對整個字符串做urlencode,可以看到其中的“/”、“=”和參數鍵值對中的“&”都已經被替換,注意最前麵的GET之後的兩個“&”並沒有被替換:
GET&%2F&AccessKeyId%3D6olc8au16tjr574v222c923p%26Action%3DDescribeImages%26Format%3DXML%26ImageOwnerAlias%3Dsystem%26PageSize%3D10%26RegionId%3Dcn-hangzhou%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D352f98b6-5fbe-489c-b8a4-5d484939a8d5%26SignatureVersion%3D1.0%26Timestamp%3D2015-09-12T07%253A45%253A58Z%26Version%3D2014-05-26
6、 然後構造HMAC運算的key,很簡單,將Access Key Secret再加上一個“&”即可:
IamAccessKeySecret&
7、 扔給電腦做HMAC-SHA1運算,然後算出來一個最終的字符串:
53wPekiWxh45TgPxVb4bkXrzZ6M=
8、 這個字符串就是最終的Signature值,然後將其加入到HTTP get請求中,組成最終的get參數字符串,特別要注意Signature加入後需要確認其中的特殊符號如“=”是否被轉換為%xx的字符串。
ImageOwnerAlias=system&SignatureVersion=1.0&Action=DescribeImages&Format=XML&PageSize=10&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&Version=2014-05-26&AccessKeyId=6olc8au16tjr574v222c923p&Signature=53wPekiWxh45TgPxVb4bkXrzZ6M%3D&SignatureMethod=HMAC-SHA1&RegionId=cn-hangzhou&Timestamp=2015-09-12T07%3A45%3A58Z
9、 然後就可以向ECS的API服務器發送請求了
參考文檔
1.官網的生成Signature文檔:https://help.aliyun.com/document_detail/25492.html
最後更新:2017-05-09 01:01:03