函数计算签名算法是什么?
函数计算签名算法是什么?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
函数计算的签名算法用于确保API请求的安全性,防止请求被篡改或伪造。以下是函数计算签名算法的详细步骤和说明:
1. 签名算法的核心流程
函数计算的签名算法基于HMAC-SHA256和Base64编码,其核心流程包括以下几个步骤:
(1) 构造待签名字符串
待签名字符串由以下部分组成: - HTTP_METHOD:大写的HTTP方法,例如PUT、GET、POST、DELETE。 - CONTENT-MD5:请求内容数据的MD5值。如果请求头中未包含Content-MD5字段,则填入空字符串。 - CONTENT-TYPE:请求内容的类型,通常为application/json。 - DATE:请求的时间戳,格式为GMT时区的RFC1123格式,例如Mon, 02 Jan 2006 15:04:05 GMT。 - CanonicalizedFCHeaders:所有以x-fc-为前缀的请求头,按字典序排序后拼接成的字符串。 - CanonicalizedResource:请求的资源路径。
构造公式如下:
StringToSign = HTTP_METHOD + "\n"
+ CONTENT-MD5 + "\n"
+ CONTENT-TYPE + "\n"
+ DATE + "\n"
+ CanonicalizedFCHeaders
+ CanonicalizedResource
(2) 计算签名
使用HMAC-SHA256算法对StringToSign进行签名,并将结果通过Base64编码生成最终的签名值。伪代码如下:
signature = base64(hmac-sha256(StringToSign, AccessKeySecret))
(3) 构造Authorization字段
将签名值与AccessKeyId组合,生成Authorization字段,格式如下:
Authorization = "FC " + AccessKeyId + ":" + signature
2. 具体实现细节
(1) CanonicalizedFCHeaders的构造
CanonicalizedFCHeaders是所有以x-fc-为前缀的请求头的规范化表示,具体步骤如下: 1. 将所有以x-fc-为前缀的请求头名称转换为小写。 2. 对每个请求头生成子串${key}:${value}\n,例如X-Fc-Invocation-Type:Sync转换为x-fc-invocation-type:Sync\n。 3. 按字段名从小到大排序后拼接所有子串。
(2) CanonicalizedResource的构造
CanonicalizedResource是请求的资源路径,通常为函数计算的API路径。如果请求中包含查询参数,则需要对查询参数进行排序并拼接到路径后。
3. 示例
假设以下参数: - HTTP_METHOD: POST - CONTENT-MD5: ""(空字符串) - CONTENT-TYPE: application/json - DATE: Mon, 02 Jan 2006 15:04:05 GMT - CanonicalizedFCHeaders: x-fc-invocation-type:Sync\n - CanonicalizedResource: /2016-08-15/services/my-service/functions/my-function
构造的StringToSign为:
POST\n
\n
application/json\n
Mon, 02 Jan 2006 15:04:05 GMT\n
x-fc-invocation-type:Sync\n
/2016-08-15/services/my-service/functions/my-function
使用AccessKeySecret对StringToSign进行HMAC-SHA256签名,并通过Base64编码生成签名值。最终的Authorization字段为:
FC testid:generated-signature-value
4. 注意事项
- 签名错误处理:如果请求未包含签名字段或签名错误,函数计算服务将返回
HTTP 403错误。 - 匿名访问:如果HTTP触发器配置为允许匿名访问,则无需校验签名。
- 时间戳要求:
DATE字段必须为GMT时区的RFC1123格式,且与服务器时间偏差不能过大,否则可能导致签名验证失败。
5. 总结
函数计算的签名算法通过构造待签名字符串、计算HMAC-SHA256签名并生成Authorization字段,确保了API请求的安全性和合法性。开发者在调用API时需严格按照上述步骤实现签名逻辑,或直接使用阿里云SDK提供的签名功能以简化开发流程。
