物联网平台会对每个接口访问请求的发送者进行身份验证,所以无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名(Signature)信息。
签名方法
签名时,您需在控制台 Access Key 管理 页面查看您的阿里云账号的 AccessKeyId 和 AccessKeySecret,然后进行对称加密。其中,AccessKeyId 用于标识访问者身份;AccessKeySecret 是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密。
 |
说明 |
| 物联网平台提供了Java、Python、PHP等语言的服务端SDK。使用我们提供的SDK,可以免去签名过程。请参见SDK下载及各SDK的使用说明。 |
请按照下面的方法对请求进行签名:
- 构造规范化的请求字符串(Canonicalized Query String)。
- 排序参数。
按参数名的字典顺序,对请求参数进行排序,包括 公共请求参数(不包括 Signature 参数)和接口的自定义参数。
说明 当使用 GET 方法提交请求时,这些参数就是请求 URI 中的参数部分,即 URI 中 ?之后由&连接的部分。 - 对参数名称和参数值进行 URL 编码。
使用UTF-8字符集按照 RFC3986 规则编码请求参数名和参数值。编码规则如下:
- 字符 A~Z、a~z、0~9 以及字符
-、_、.、~不编码。 - 其它字符编码成
%XY的格式,其中XY是字符对应 ASCII 码的 16 进制表示。比如英文的双引号"对应的编码为%22。 - 扩展的UTF-8字符,编码成
%XY%ZA…的格式。 - 英文空格要编码成
%20,而不是加号+。
该编码方式与
application/x-www-form-urlencodedMIME格式编码算法相似,但又有所不同。如果您使用的是Java标准库中的
java.net.URLEncoder,可以先用标准库中percentEncode编码,随后将编码后的字符中加号+替换为%20、星号*替换为%2A、%7E替换为波浪号~,即可得到上述规则描述的编码字符串。private static final String ENCODING = "UTF-8"; private static String percentEncode(String value) throws UnsupportedEncodingException { return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null; } - 字符 A~Z、a~z、0~9 以及字符
- 使用等号
=连接编码后的请求参数名和参数值。 - 使用与号
&连接编码后的请求参数。参数排序与步骤 a 的排序一致。
完成后,即获得规范化请求字符串(CanonicalizedQueryString)。
- 排序参数。
- 构造签名字符串。
可以使用
percentEncode处理步骤 1 得到的规范化字符串,构造签名字符串。可参考如下规则:StringToSign= HTTPMethod + "&" + //HTTPMethod:发送请求的 HTTP 方法,例如 GET。 percentEncode("/") + "&" + //percentEncode("/"):字符(/)UTF-8 编码得到的值,即 %2F。 percentEncode(CanonicalizedQueryString) //您的规范化请求字符串。 - 计算 HMAC 值。
按照 RFC2104 的定义,使用步骤 2 得到的字符串
StringToSign计算签名 HMAC 值。示例使用的是Java Base64编码方法。Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(StringToSign) ) )说明 计算签名时,使用的 Key 就是您的 AccessKeySecret 并加上一个与号 &字符(ASCII:38)。使用的哈希算法是 SHA1。 - 计算签名值。
按照 Base64 编码规则把步骤 3 中的 HMAC 值编码成字符串,即得到签名值(Signature)。
- 添加签名。
将得到的签名值作为 Signature 参数,按照 RFC3986 的规则进行 URL 编码后,再添加到请求参数中,即完成对请求签名的过程。
示例1:参数拼接法
以调用Pub接口为例。假设您的AccessKeyId=testid,AccessKeySecret=testsecret。
- 签名前的请求URL:
http://iot.cn-shanghai.aliyuncs.com/?MessageContent=aGVsbG93b3JsZA%3D&Action=Pub&Timestamp=2017-10-02T09%3A39%3A41Z&SignatureVersion=1.0&ServiceCode=iot&Format=XML&Qos=0&SignatureNonce=0715a395-aedf-4a41-bab7-746b43d38d88&Version=2017-04-20&AccessKeyId=testid&SignatureMethod=HMAC-SHA1&RegionId=cn-shanghai&ProductKey=12345abcdeZ&TopicFullName=%2FproductKey%2Ftestdevice%2Fget - 计算得到的待签名字符串
StringToSign:GET&%2F&AccessKeyId%3Dtestid%26Action%3DPub%26Format%3DXML%26MessageContent%3DaGVsbG93b3JsZA%253D%26ProductKey%3D12345abcdeZ%26Qos%3D0%26RegionId%3Dcn-shanghai%26ServiceCode%3Diot%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D0715a395-aedf-4a41-bab7-746b43d38d88%26SignatureVersion%3D1.0%26Timestamp%3D2017-10-02T09%253A39%253A41Z%26TopicFullName%3D%252FproductKey%252Ftestdevice%252Fget%26Version%3D2017-04-20 - 计算签名值。
因为
AccessKeySecret=testsecret,用于计算的Key为testsecret&,计算得到的签名值为:Y9eWn4nF8QPh3c4zAFkM/k/u7eA= - 将签名作为Signature参数加入到URL请求中,最后得到的URL为:
http://iot.cn-shanghai.aliyuncs.com/?MessageContent=aGVsbG93b3JsZA%3D&Action=Pub&Timestamp=2017-10-02T09%3A39%3A41Z&SignatureVersion=1.0&ServiceCode=iot&Format=XML&Qos=0&SignatureNonce=0715a395-aedf-4a41-bab7-746b43d38d88&Version=2017-04-20&AccessKeyId=testid&Signature=Y9eWn4nF8QPh3c4zAFkM%2Fk%2Fu7eA%3D&SignatureMethod=HMAC-SHA1&RegionId=cn-shanghai&ProductKey=12345abcdeZ&TopicFullName=%2FproductKey%2Ftestdevice%2Fget
示例2:JAVA 语言编码法
本示例代码不需要依赖第三方的库包,可以直接使用。签名步骤如下所示。
- 构造规范化的请求字符串(参数排序及对参数名称和参数值进行URL编码)。
public static Map<String, String> splitQueryString(String url) throws URISyntaxException, UnsupportedEncodingException { URI uri = new URI(url); String query = uri.getQuery(); final String[] pairs = query.split("&"); TreeMap<String, String> queryMap = new TreeMap<String, String>(); for (String pair : pairs) { final int idx = pair.indexOf("="); final String key = idx > 0 ? pair.substring(0, idx) : pair; if (!queryMap.containsKey(key)) { queryMap.put(key, URLDecoder.decode(pair.substring(idx + 1), CHARSET_UTF8)); } } return queryMap; } /** 对参数名称和参数值进行URL编码**/ public static String generate(String method, Map<String, String> parameter, String accessKeySecret) throws Exception { String signString = generateSignString(method, parameter); System.out.println("signString---" + signString); byte[] signBytes = hmacSHA1Signature(accessKeySecret + "&", signString); String signature = newStringByBase64(signBytes); System.out.println("signature---" + signature); if ("POST".equals(method)) return signature; return URLEncoder.encode(signature, "UTF-8"); } - 构造待签名的字符串。
public static String generateSignString(String httpMethod, Map<String, String> parameter) throws IOException { TreeMap<String, String> sortParameter = new TreeMap<String, String>(); sortParameter.putAll(parameter); String canonicalizedQueryString = UrlUtil.generateQueryString( sortParameter, true); if (null == httpMethod) { throw new RuntimeException("httpMethod can not be empty"); } /** 构造待签名的字符串* */ StringBuilder stringToSign = new StringBuilder(); stringToSign.append(httpMethod).append(SEPARATOR); stringToSign.append(percentEncode("/")).append(SEPARATOR); stringToSign.append(percentEncode(canonicalizedQueryString)); return stringToSign.toString(); } - 计算待签名字符串的 HMAC 值。
public static byte[] hmacSHA1Signature(String secret, String baseString) throws Exception { if (isEmpty(secret)) { throw new IOException("secret can not be empty"); } if (isEmpty(baseString)) { return null; } Mac mac = Mac.getInstance("HmacSHA1"); SecretKeySpec keySpec = new SecretKeySpec( secret.getBytes(CHARSET_UTF8), ALGORITHM); mac.init(keySpec); return mac.doFinal(baseString.getBytes(CHARSET_UTF8)); } private static boolean isEmpty(String str) { return (str == null || str.length() == 0); } - 按照 Base64 编码规则编码成字符串,获取签名值。
public static String newStringByBase64(byte[] bytes) throws UnsupportedEncodingException { if (bytes == null || bytes.length == 0) { return null; } return new String(new BASE64Encoder().encode(bytes)); } public static String composeStringToSign(Map<String, String> queries) { String[] sortedKeys = (String[]) queries.keySet() .toArray(new String[0]); Arrays.sort(sortedKeys); StringBuilder canonicalizedQueryString = new StringBuilder(); for (String key : sortedKeys) { canonicalizedQueryString.append("&").append(percentEncode(key)) .append("=") .append(percentEncode((String) queries.get(key))); } StringBuilder stringToSign = new StringBuilder(); stringToSign.append("GET"); stringToSign.append("&"); stringToSign.append(percentEncode("/")); stringToSign.append("&"); stringToSign.append(percentEncode(canonicalizedQueryString.toString() .substring(1))); return stringToSign.toString(); } public static String percentEncode(String value) { try { return value == null ? null : URLEncoder .encode(value, CHARSET_UTF8).replace("+", "%20") .replace("*", "%2A").replace("%7E", "~"); } catch (Exception e) { } return ""; } /** * get SignatureNonce ** */ public static String getUniqueNonce() { UUID uuid = UUID.randomUUID(); return uuid.toString(); } /** * get timestamp **/ public static String getISO8601Time() { Date nowDate = new Date(); SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'"); df.setTimeZone(new SimpleTimeZone(0, "GMT")); return df.format(nowDate); } - 添加签名。
public static String composeUrl(String endpoint, Map<String, String> queries) throws UnsupportedEncodingException { Map<String, String> mapQueries = queries; StringBuilder urlBuilder = new StringBuilder(""); urlBuilder.append("http"); urlBuilder.append("://").append(endpoint); if (-1 == urlBuilder.indexOf("?")) { urlBuilder.append("/?"); } urlBuilder.append(concatQueryString(mapQueries)); return urlBuilder.toString(); } public static String concatQueryString(Map<String, String> parameters) throws UnsupportedEncodingException { if (null == parameters) { return null; } StringBuilder urlBuilder = new StringBuilder(""); for (Map.Entry<String, String> entry : parameters.entrySet()) { String key = (String) entry.getKey(); String val = (String) entry.getValue(); urlBuilder.append(encode(key)); if (val != null) { urlBuilder.append("=").append(encode(val)); } urlBuilder.append("&"); } int strIndex = urlBuilder.length(); if (parameters.size() > 0) { urlBuilder.deleteCharAt(strIndex - 1); } return urlBuilder.toString(); } public static String encode(String value) throws UnsupportedEncodingException { return URLEncoder.encode(value, "UTF-8"); } }
