PolarDB-X 1.0-API参考-1.0(2017版本)-OpenAPI使用-签名机制

本文涉及的产品
云原生数据库 PolarDB 分布式版,标准版 2核8GB
简介: 关于 Access Key ID 与 Access Key SecretPolarDB-X 服务会对每个 API 的调用请求进行身份验证,所以无论使用 HTTP 还是 HTTPS 协议提交请求,都需要在请求中包含由 Access Key ID 与 Access Key Secret 所产生的签名(Signature)信息。Access Key ID 和 Access Key Secret 由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中 Access Key ID 用于标识访问者的身份。Access Key Secret 是用于加密签名字符串和服务器端验证签名字符串

关于 Access Key ID 与 Access Key Secret

  • PolarDB-X 服务会对每个 API 的调用请求进行身份验证,所以无论使用 HTTP 还是 HTTPS 协议提交请求,都需要在请求中包含由 Access Key ID 与 Access Key Secret 所产生的签名(Signature)信息。
  • Access Key ID 和 Access Key Secret 由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中 Access Key ID 用于标识访问者的身份。
  • Access Key Secret 是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密,只有阿里云和用户知道。

签名方法

发送 OpenAPI 请求时,请按照下面的方法对请求进行签名处理:

  1. 使用请求参数构造规范化的请求字符串(Canonicalized Query String)。1.1. 按照参数名称的字典顺序对请求中所有的请求参数(包括文档中描述的“公共请求参数”和给定了的请求接口的自定义参数,但不能包括“公共请求参数”中提到 Signature 参数本身)进行排序。注意:使用 GET 方法提交请求时,这些参数就是请求 URI 中的参数部分(即 URI 中“?”之后由“&”连接的部分)。1.2. 对每个请求参数的名称和值进行编码。名称和值要使用 UTF-8字符集进行 URL 编码,URL 编码的编码规则是:
  • 对于字符 A-Z、a-z、0-9以及字符“-”、“_”、“.”、“~”不编码;
  • 对于其他字符编码成“%XY”的格式,其中 XY 是字符对应 ASCII 码的16进制表示。比如英文的双引号(”)对应的编码就是%22;
  • 对于扩展的 UTF-8 字符,编码成“%XY%ZA…”的格式;
  • 英文空格( )要被编码是%20,而不是加号(+)。
    注意:一般支持 URL 编码的库(比如 Java 中的 java.net.URLEncoder)都是按照“application/x-www-form-urlencoded”的 MIME 类型的规则进行编码的。实现时可以直接使用这类方式进行编码,把编码后的字符串中加号(+)替换成%20、星号(*)替换成%2A、%7E 替换回波浪号(~),即可得到上述规则描述的编码字符串。
  1. 1.3. 对编码后的参数名称和值使用英文等号(=)进行连接。
    1.4. 把英文等号连接得到的字符串按参数名称的字典顺序依次使用&符号连接,即得到规范化请求字符串。
  2. 使用上一步构造的规范化字符串按照下面的规则构造用于计算签名的字符串。
  1. StringToSign=
  2. HTTPMethod+"&"+
  3. percentEncode("/")+"&"+
  4. percentEncode(CanonicalizedQueryString)
  • 其中 HTTPMethod 是提交请求用的 HTTP 方法,比 GET。
  • percentEncode(“/”)是按照1.2中描述的 URL 编码规则对字符“/”进行编码得到的值,即“%2F”。
  • percentEncode(CanonicalizedQueryString)是对第1步中构造的规范化请求字符串按 1.2 中描述的 URL 编码规则编码后得到的字符串。
  1. 按照 RFC2104 的定义,使用上面的用于签名的字符串计算签名 HMAC 值。
    注意:计算签名时使用的 Key 就是用户持有的 Access Key Secret 并加上一个“&”字符(ASCII:38),使用的哈希算法是 SHA1。
  2. 按照 Base64 编码规则把上面的 HMAC 值编码成字符串,即得到签名值(Signature)。
  3. 将得到的签名值作为 Signature 参数添加到请求参数中,即完成对请求签名的过程。
    注意:得到的签名值在作为最后的请求参数值提交给 PolarDB-X 服务器的时候,要和其他参数一样,按照 RFC3986 的规则进行 URL 编码)。

示例

以 DescribeDrdsInstances 为例,签名前的请求参数字符串为:


  1. AccessKeyId=testid&Action=DescribeDrdsInstances&Format=XML&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=ae5bdbeb-9b44-40a1-8bb4-b40784bff686&SignatureVersion=1.0&Timestamp=2016-01-20T14%3A26%3A15Z&Version=2015-04-13

对这个字符串进行编码,那么 StringToSign 就是:


  1. GET&%2F&AccessKeyId%3Dtestid&Action%3DDescribeDrdsInstances&Format%3DXML&RegionId%3Dcn-hangzhou&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3Dae5bdbeb-9b44-40a1-8bb4-b40784bff686&SignatureVersion%3D1.0&Timestamp%3D2016-01-20T14%253A26%253A15Z&Version%3D2015-04-13

假如使用的 Access Key ID 是“testid”,Access Key Secret 是“testsecret”,用于计算 HMAC 的 Key 就是“testsecret&”,则计算得到的签名值是:


  1. h/ka/jNO+WZv8Tqgo4a75sp6eTs=

签名后的请求 URL 为(注意增加了 Signature 参数):


  1. http://drds.aliyuncs.com/?AccessKeyId=testid&Action=DescribeDrdsInstances&Format=XML&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=ae5bdbeb-9b44-40a1-8bb4-b40784bff686&SignatureVersion=1.0&Timestamp=2016-01-20T14%3A26%3A15Z&Version=2015-04-13&Signature=h%2Fka%2FjNO%2BWZv8Tqgo4a75sp6eTs%3D

调用接口 DescribeDrdsInstances 的 Java 示例如下:


  1. publicstaticvoid drdsOpenAPI()throwsNoSuchAlgorithmException,InvalidKeyException,IOException{
  2.        //AK 与 SK
  3.        String accessKey ="testid";
  4.        String accessSecret ="testsecret";
  5.        //公共参数
  6.        Map<String,String> parameters =newTreeMap<String,String>();
  7.        parameters.put("Format","JSON");
  8.        parameters.put("Action","DescribeDrdsInstances");//调用 DescribeDrdsInstances 接口
  9.        parameters.put("Version","2015-04-13");
  10.        parameters.put("AccessKeyId", accessKey);
  11.        parameters.put("SignatureMethod","HMAC-SHA1");
  12.        parameters.put("Timestamp", getISO8601Time());
  13.        parameters.put("SignatureVersion","1.0");
  14.        parameters.put("SignatureNonce", UUID.randomUUID().toString());
  15.        parameters.put("RegionId","cn-hangzhou");
  16.        StringBuilder paramStr =newStringBuilder();
  17.        //拼接请求参数
  18.        for(Map.Entry<String,String> entry : parameters.entrySet()){
  19.          paramStr.append(percentEncode(entry.getKey())).append("=").append(percentEncode(entry.getValue())).append("&");
  20.        }
  21.        paramStr.deleteCharAt(paramStr.length()-1);

  22.        //计算签名
  23.        StringBuilder stringToSign =newStringBuilder();
  24.            stringToSign.append("GET").append("&").append(percentEncode("/"))
  25.                  .append("&").append(percentEncode(paramStr.toString()));
  26.            Mac mac =Mac.getInstance("HmacSHA1");
  27.        mac.init(newSecretKeySpec((accessSecret +"&").getBytes("UTF-8"),"HmacSHA1"));
  28.        byte[] signData = mac.doFinal(stringToSign.toString().getBytes("UTF-8"));
  29.        String signStr =Base64Helper.encode(signData);
  30.        //拼接 URL
  31.        String requestUrl ="http://drds.aliyuncs.com/?"+ paramStr.toString()+
  32.            "&Signature="+  percentEncode(signStr);
  33.        //准备发送 HTTP 请求
  34.        URL url =new URL(requestUrl);
  35.        HttpURLConnection httpConn =(HttpURLConnection)url.openConnection();
  36.        httpConn.setRequestMethod("GET");
  37.        httpConn.setDoOutput(true);
  38.        httpConn.setDoInput(true);
  39.        httpConn.setUseCaches(false);
  40.        httpConn.connect();
  41.        InputStream content = httpConn.getInputStream();
  42.        ByteArrayOutputStream outputStream =newByteArrayOutputStream();
  43.        byte[] buff =newbyte[1024];
  44.        while(true){
  45.           finalint read = content.read(buff);
  46.           if(read ==-1)break;
  47.           outputStream.write(buff,0,read);
  48.        }
  49.        System.out.println(newString(outputStream.toByteArray()));;
  50.  }

  51.  publicstaticString percentEncode(String value)throwsUnsupportedEncodingException{
  52.        return value !=null?URLEncoder.encode(value,"UTF-8").replace("+","%20")
  53.                .replace("*","%2A").replace("%7E","~"):null;
  54.    }

  55.  staticString getISO8601Time(){
  56.        SimpleDateFormat df =newSimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'");
  57.        df.setTimeZone(newSimpleTimeZone(0,"GMT"));
  58.        return df.format(newDate());
  59.  }
  60. }
相关实践学习
快速体验PolarDB开源数据库
本实验环境已内置PostgreSQL数据库以及PolarDB开源数据库:PolarDB PostgreSQL版和PolarDB分布式版,支持一键拉起使用,方便各位开发者学习使用。
相关文章
|
6月前
|
算法 Linux API
【Linux系统编程】Linux下删除文件的 API方式以及文件删除机制差异
【Linux系统编程】Linux下删除文件的 API方式以及文件删除机制差异
142 0
|
12天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
41 2
|
4月前
|
消息中间件 API 数据库
在微服务架构中,每个服务通常都是一个独立运行、独立部署、独立扩展的组件,它们之间通过轻量级的通信机制(如HTTP/RESTful API、gRPC等)进行通信。
在微服务架构中,每个服务通常都是一个独立运行、独立部署、独立扩展的组件,它们之间通过轻量级的通信机制(如HTTP/RESTful API、gRPC等)进行通信。
|
4月前
|
安全 Java API
构建基于Spring Boot的REST API安全机制
构建基于Spring Boot的REST API安全机制
|
4月前
|
API 开发工具
支付系统17------支付宝支付-----API预览以及签名验签说明,出现支付宝扫描二维码的操作,支付完成之后,查询订单的状态,支付成功之后,需要退款调用的接口,退款状态的接口,完成退款之后,通知
支付系统17------支付宝支付-----API预览以及签名验签说明,出现支付宝扫描二维码的操作,支付完成之后,查询订单的状态,支付成功之后,需要退款调用的接口,退款状态的接口,完成退款之后,通知
|
6月前
|
关系型数据库 分布式数据库 PolarDB
PolarDB产品使用合集之关于在Docker环境中部署和维护PolarDB-X,有相关文章可以参考吗
PolarDB产品使用合集涵盖了从创建与管理、数据管理、性能优化与诊断、安全与合规到生态与集成、运维与支持等全方位的功能和服务,旨在帮助企业轻松构建高可用、高性能且易于管理的数据库环境,满足不同业务场景的需求。用户可以通过阿里云控制台、API、SDK等方式便捷地使用这些功能,实现数据库的高效运维与持续优化。
|
6月前
|
SQL Cloud Native 关系型数据库
云原生分布式数据库 PolarDB-X系统权限策略参考
阿里云RAM提供系统和自定义策略,系统策略由阿里云维护,不可修改,用于快速入门;自定义策略用户可创建、更新和删除。系统策略包括产品系统策略、服务角色策略和服务关联角色策略。产品如DRDS有预设的系统策略,如AliyunDRDSFullAccess、AliyunDRDSReadOnlyAccess等,用于不同级别的访问权限。建议遵循最小授权原则,详细授权操作见官方文档。
219 0
|
6月前
|
JSON 前端开发 生物认证
REST API 的指纹验证机制
REST API 的指纹验证机制
77 0
|
6月前
|
前端开发 API 数据安全/隐私保护
API接口签名验证
过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。 但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。
|
11月前
|
缓存 安全 NoSQL
App开放接口api安全:Token签名sign的设计与实现
在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些 接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目 中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。

相关产品

  • 云原生分布式数据库 PolarDB-X
  • 下一篇
    无影云桌面