PolarDB-X 1.0-API参考-1.0(2019版本)-签名机制

本文涉及的产品
云原生数据库 PolarDB 分布式版,标准版 2核8GB
简介: 为保证API的安全调用,在调用API时阿里云会对每个API请求通过签名(Signature)进行身份验证。无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名信息。

概述

RPC API要按如下格式在API请求的Query中增加签名(Signature):


https://Endpoint/?SignatureVersion=1.0&SignatureMethod=HMAC-SHA1&Signature=CT9X0VtwR86fNWSnsc6v8YGOjuE%3D&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf

其中:

  • SignatureMethod:签名方式,目前支持HMAC-SHA1。
  • SignatureVersion:签名算法版本,目前版本是1.0。
  • SignatureNonce:唯一随机数,用于防止网络重放攻击。用户在不同请求间要使用不同的随机数值,建议使用通用唯一识别码(Universally Unique Identifier, UUID)。
  • Signature: 使用AccessKey Secret对请求进行对称加密后生成的签名。

计算签名

签名算法遵循RFC 2104 HMAC-SHA1规范,使用AccessSecret对编码、排序后的整个请求串计算HMAC值作为签名。签名的元素是请求自身的一些参数,由于每个API请求内容不同,所以签名的结果也不尽相同。


Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(
StringToSign)) )

完成以下操作,计算签名:

  1. 构建待签名字符串
  1. 使用请求参数构造规范化的请求字符串(Canonicalized Query String):
  1. 按照参数名称的字典顺序对请求中所有的请求参数(包括公共请求参数和接口的自定义参数,但不包括公共请求参数中的Signature参数)进行排序。当使用GET方法提交请求时,这些参数就是请求URI中的参数部分,即URI中“?”之后由“&”连接的部分。
  2. 对排序之后的请求参数的名称和值分别用UTF-8字符集进行URL编码。编码规则如下:
  • 对A-Z、a-z和0-9以及“-”、“_”、“.”和“~”不编码。
  • 其它字符编码成 %XY 的格式,其中 XY 是字符对应ASCII码的16进制表示。比如英文的双引号(””)对应的编码为 %22
  • 扩展的UTF-8字符,编码成 %XY%ZA…的格式。
  • 英文空格要编码成 %20,而不是加号(+)。
    该编码方式和一般采用的 application/x-www-form-urlencoded MIME格式编码算法(比如 Java标准库中的 java.net.URLEncoder的实现)存在区别。编码时可以先用标准库的方式进行编码,然后把编码后的字符串中的加号(+)替换成 %20,星号(*)替换成 %2A%7E替换回波浪号(~),即可得到上述规则描述的编码字符串。本算法可以用下面的percentEncode方法来实现:
private static final String ENCODING = "UTF-8";
private static String percentEncode(String value) throws UnsupportedEncodingException 
{
return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
}
  • 将编码后的参数名称和值用英文等号(=)进行连接。
  • 将等号连接得到的参数组合按步骤 i 排好的顺序依次使用“&”符号连接,即得到规范化请求字符串。
  1. 将第一步构造的规范化字符串按照下面的规则构造成待签名的字符串。
StringToSign=
      HTTPMethod + “&” +
      percentEncode(“/”) + ”&” +
       percentEncode(CanonicalizedQueryString)
  1. 其中:
  • HTTPMethod 是提交请求用的HTTP方法,比如GET。
  • percentEncode(“/”) 是按照步骤1.1中描述的 URL 编码规则对字符 “/” 进行编码得到的值,即 %2F。
  • percentEncode(CanonicalizedQueryString) 是对步骤1中构造的规范化请求字符串按步骤 1.2 中描述的URL编码规则编码后得到的字符串。
  1. 计算签名
  1. 按照RFC2104的定义,计算待签名字符串(StringToSign)的HMAC值。
    说明 计算签名时使用的Key就是您持有的AccessKey Secret并加上一个 “&” 字符(ASCII:38), 使用的哈希算法是SHA1。
  2. 按照Base64编码规则把上面的HMAC值编码成字符串,即得到签名值(Signature)。
  3. 将得到的签名值作为Signature参数添加到请求参数中。
    说明 得到的签名值在作为最后的请求参数值提交时要和其它参数一样,按照RFC3986的规则进行URL编码。

示例

DescribeDrdsInstancesAPI 为例,假设使用的AccessKey IdtestidAccessKey Secrettestsecret。 签名前的请求URL如下:


AccessKeyId=testid&Action=DescribeDrdsInstances&Format=XML&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=ae5bdbeb-9b44-40a1-8bb4-b40784bff686&SignatureVersion=1.0&Timestamp=2016-01-20T14%3A26%3A15Z&Version=2015-04-13

使用testsecret&,计算得到的签名值是:


h/ka/jNO+WZv8Tqgo4a75sp6eTs=

最后将签名作为Signature参数加入到URL请求中,最后得到的URL为:


http://drds.aliyuncs.com/?AccessKeyId=testid&Action=DescribeDrdsInstances&Format=XML&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=ae5bdbeb-9b44-40a1-8bb4-b40784bff686&SignatureVersion=1.0&Timestamp=2016-01-20T14%3A26%3A15Z&Version=2015-04-13&Signature=h%2Fka%2FjNO%2BWZv8Tqgo4a75sp6eTs%3D
相关实践学习
Polardb-x 弹性伸缩实验
本实验主要介绍如何对PolarDB-X进行手动收缩扩容,了解PolarDB-X 中各个节点的含义,以及如何对不同配置的PolarDB-x 进行压测。
相关文章
|
1月前
|
存储 开发框架 小程序
社区每周丨小程序 CLI 1.8.10 版本上线及基础API新增接口(7.3-7.7)
社区每周丨小程序 CLI 1.8.10 版本上线及基础API新增接口(7.3-7.7)
38 0
|
3月前
|
敏捷开发 JavaScript 前端开发
❤❤❤【Vue.js最新版】sd.js基于jQuery Ajax最新原生完整版for凯哥API版本❤❤❤
❤❤❤【Vue.js最新版】sd.js基于jQuery Ajax最新原生完整版for凯哥API版本❤❤❤
|
10天前
|
并行计算 算法 API
MindOpt优化器: 浅谈版本0.x和1.x之间API的差异
Mindopt是一款高性能优化求解器,专为解决从简单线性规划 (LP) 到更复杂的混合整数规划 (MIP) 、非线性规划(QP、SDP)的一系列问题而设计。其强大的算法旨在有效地找到最佳解决方案,使其成为运筹学,电力能源、工业制造、交通物流和其他领域的研究人员和专业人员的首选工具。
|
2月前
|
关系型数据库 MySQL 分布式数据库
PolarDB MySQL企业版与标准版功能对比:如何选择适合您的版本?
随着数字化时代的到来,企业对于数据处理的需求越来越高,而数据库作为数据处理的核心,其性能和成本成为了企业关注的焦点。阿里云全新推出的PolarDB MySQL企业版和标准版,以全新的架构和优化,为企业提供了高性能、低成本的数据库解决方案。但在功能上,这两个版本有很多差异,我们该如何选择呢?
30 2
|
3月前
|
设计模式 Oracle 关系型数据库
二十三种设计模式全面解析-适配器模式的妙用:异构数据库和不同版本API的完美兼容!
二十三种设计模式全面解析-适配器模式的妙用:异构数据库和不同版本API的完美兼容!
|
3月前
|
前端开发 JavaScript API
【uni-app】【基于jQuery Ajax】[sd.js]最新原生完整版for凯哥API版本
【uni-app】【基于jQuery Ajax】[sd.js]最新原生完整版for凯哥API版本
|
3月前
|
安全 关系型数据库 数据库
上新|阿里云RDS PostgreSQL支持PG 16版本,AliPG提供丰富自研能力
AliPG在社区版16.0的基础上,在安全、成本、可运维性等多个方面做了提升,丰富的内核/插件特性支持,满足业务场景的需求
|
3月前
|
前端开发 API 数据安全/隐私保护
API接口签名验证
过去对于接口的验证我一般都是直接在登录时为用户发放token,用户在随后的操作中携带了token则允许请求。 但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。其他人可以使用这个token自行调用接口进行请求,传入非法参数甚至进行注入攻击等,可能会造成严重的问题。
|
3月前
|
缓存 安全 NoSQL
App开放接口api安全:Token签名sign的设计与实现
在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些 接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目 中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。
|
4月前
|
SQL 关系型数据库 PostgreSQL
PostgreSQL查看版本
PostgreSQL查看版本

相关产品

  • 云原生分布式数据库 PolarDB-X