Serverless 应用引擎 签名机制是怎样的?

为保证API的安全调用，在调用API时阿里云会对每个API请求通过签名（Signature）进行身份验证。无论使用HTTP还是HTTPS协议提交请求，都需要在请求中包含签名信息。

概述 RESTful API需要按如下格式在API请求头（request header）中添加Authorization参数进行签名：

Authorization:acs:AccessKeyId:Singature 其中： acs：Alibaba Cloud Service的缩写，固定标识不可修改。 AccessKeyId：调用者调用API所用的密钥ID。 Signature：使用AccessKey Secret对请求进行对称加密的签名。 计算签名 签名算法遵循RFC 2104 HMAC-SHA1规范，使用AccessSecret对编码、排序后的整个请求串计算HMAC值作为签名。签名的元素是请求自身的一些参数，由于每个API请求内容不同，所以签名的结果也不尽相同。

Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of( StringToSign)) ) 完成以下操作，计算签名： 构建待签名字符串。 待签名字符串（StringToSign）是API请求拼装的字符串，用于计算签名，包括： HTTP协议Header 阿里云协议Header (CanonicalizedHeaders) 规范资源（CanonicalizedResource） Body 待签名字符串必须按照以下顺序构造：

StringToSign = //http协议Header HTTP-Verb + "\n" + Accept + "\n" + Content-MD5 + "\n" +//Body的MD5值放在此处 Content-Type + "\n" + Date + "\n" + //阿里云协议header(CanonicalizedHeaders) CanonicalizedHeaders + //签名中如何包含CanonicalizedResource（规范资源） CanonicalizedResource 示例：原始请求

POST /stacks?name=test_alert&status=COMPLETE HTTP/1.1 Host: ***.aliyuncs.com Accept: application/json Content-MD5: ChDfdfwC+Tn874znq7Dw7Q== Content-Type: application/x-www-form-urlencoded;charset=utf-8 Date: Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method: HMAC-SHA1 x-acs-signature-version: 1.0 x-acs-version: 2016-01-02 示例：规范请求

POST application/json ChDfdfwC+Tn874znq7Dw7Q== application/x-www-form-urlencoded;charset=utf-8 Thu, 22 Feb 2018 07:46:12 GMT x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method:HMAC-SHA1 x-acs-signature-version:1.0 x-acs-version:2016-01-02 /stacks?name=test_alert&status=COMPLETE 添加签名。 将计算好的签名以如下格式添加到请求的Header中：

Authorization: acs AccessKeyId:Signature

HTTP协议Header 计算签名必须包含一下参数，并按字典顺序排列；若值不存在则以“\n”补齐。

Accept ：客户端需要的返回值类型，取值：application/json | application/xml Content-MD5：HTTP协议消息体的128-bit MD5散列值转换成BASE64编码的结果。 Content-Type：RFC 2616中定义的HTTP请求内容类型。 Date：HTTP 1.1协议中规定的GMT时间，例如：Wed, 05 Sep. 2012 23:00:00 GMT。 说明 不包含key。 示例：原始header Accept: application/json Content-MD5: ChDfdfwC+Tn874znq7Dw7Q== Content-Type: application/x-www-form-urlencoded;charset=utf-8 Date: Thu, 22 Feb 2018 07:46:12 GMT 示例：规范header application/json ChDfdfwC+Tn874znq7Dw7Q== application/x-www-form-urlencoded;charset=utf-8 Thu, 22 Feb 2018 07:46:12 GMT 阿里云协议Header (CanonicalizedHeaders) 阿里云规范头，非标准HTTP头部信息，是请求中出现的以x-acs-为前缀的参数。请求中必须包含以下参数： x-acs-signature-nonce：唯一随机数，用于防止网络重放攻击。在不同请求间要使用不同的随机数值。 x-acs-signature-version：签名版本，取值：1.0 x-acs-version：API版本号，请参照各产品的API文档。 完成以下操作，构造阿里云规范头：

将所有以x-acs-为前缀的HTTP请求头的名字转换成小写字母。如将X-acs-OSS-Meta-Name: TaoBao转换成x-acs-oss-meta-name: TaoBao。 将上一步得到的所有HTTP阿里云规范头按照字典序进行升序排列。 删除请求头和内容之间分隔符两端出现的任何空格。如将x-acs-oss-meta-name: TaoBao,Alipay转换成x-acs-oss-meta-name:TaoBao,Alipay。 将所有的头和内容用“\n”分隔符分隔拼成最后的CanonicalizedHeaders。 示例：原始header

x-acs-signature-nonce: 550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method: HMAC-SHA1 x-acs-signature-version: 1.0 x-acs-version: 2016-01-02GMT 示例：规范header

x-acs-signature-nonce:550e8400-e29b-41d4-a716-446655440000 x-acs-signature-method:HMAC-SHA1 x-acs-signature-version:1.0 x-acs-version:2016-01-02 规范资源（CanonicalizedResource） CanonicalizedResource表示想要访问资源的规范描述，需要将子资源和query参数一同按照字典序，从小到大排列并以“&”为分隔符生成子资源字符串（?后的所有参数）。

示例：原始请求 /stacks?status=COMPLETE&name=test_alert 示例：规范请求 /stacks?name=test_alert&status=COMPLETE Body 将请求的body用MD5算法加密，在进行base64编码，将结果添加到Content-MD5中。