COS和請求簽名是什么

COS 是騰訊云對象存儲的縮寫及簡稱，請求簽名是第三方在調(diào)用COS相關接口時需要按需提供的、經(jīng)過特定算法創(chuàng)建而成的一組字符串信息，將唯一的標識當前第三方身份，提供通信雙方的身份識別，只有有效的簽名COS才會提供服務

目標

使用 PHP 創(chuàng)建 COS 接口所需要的請求簽名，與官方文檔給出的示例做比較，驗證算法的正確性

認識請求簽名

先來看一條官方文檔給出的請求簽名的樣子

q-sign-algorithm=sha1&q-ak=[SecretID]&q-sign-time=[SignTime]&q-key-time=[KeyTime]&q-header-list=[SignedHeaderList]&q-url-param-list=[SignedParameterList]&q-signature=[Signature]

請求簽名特點總結

• 是一串字符串
• key=value的鍵值對格式，key為固定值
• 一共有7對key=value
• sha1也是參數(shù)，但截止到官方發(fā)文只支持sha1，因此可以直接賦值
• SignedHeaderList、SignedParameterList、Signature三個value需要通過算法生成

鍵值對的具體描述參見官方文檔。

逐個擊破

請求簽名一共需要7個值，下面一一講解，各個擊破

q-sign-algorithm

簽名算法，官方目前僅支持 sha1，因此直接給值即可

q-ak

賬戶ID，即用戶的 SecretId，可以在控制臺 云API密鑰 頁面獲取

q-sign-time

當前簽名的有效起止時間，Unix時間戳格式，英文半角分號 ; 分割，格式如 1480932292;1481012298

q-key-time

與 q-sign-time 值相同

q-header-list

個人理解，由HTTP請求頭組成，取全部或部分請求頭，將 key:value 形式的請求項的 key 部分取出，轉(zhuǎn)化小寫，多個 key 按字典排序，以字符 ; 連接，最終組成字符串

如原始請求頭有兩個：

Host:bucket1-1254000000.cos.ap-beijing.myqcloud.com
Content-Type:image/jpeg

key 就是 Host 和 Content-Type，經(jīng)過運算后輸出 content-type;host

q-url-param-list

個人理解，由HTTP請求參數(shù)組成，取全部或部分請求參數(shù)，將 key=value 形式的請求參數(shù)的 key 部分取出，轉(zhuǎn)化小寫，多個 key 按字典排序，以字符 ; 連接，最終組成字符串

如原始HTTP請求為：

GET /?prefix=abc&max-keys=20

key 就是 prefix 和 max-keys，經(jīng)過運算后輸出 max-keys;prefix，如果請求沒有參數(shù)比如 put、post，此處即為空

q-signature

根據(jù)HTTP內(nèi)容計算簽名，算法由COS提供，只需按要求給值

官方示例及參照結果

在開始編寫邏輯之前，先看一下官方示例給出的參考值，以及經(jīng)過計算后的結果，以便和自己開發(fā)的邏輯進行結果比對

HTTP原始請求，也可以理解為計算簽名前或不需要簽名時的HTTP請求：

PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard

Hello world

計算簽名后應該得到的HTTP請求：

PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Authorization: q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&> q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q-header-list=host;x-cos-content-sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10

Hello world

結論：算法如果能得到 Authorization 后的那一串字符串即為正確

準備工作

來看一下（官方提供的）用戶信息以及HTTP信息：

• SecretId：AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
• SecretKey：BQYIM75p8x0iWVFSIgqEKwFprpRSVHlz
• 簽名有效起始時間：1417773892
• 簽名有效停止時間：1417853898
• HTTP原始請求頭：根據(jù)上一節(jié)示例不難得到HTTP原始請求有三項內(nèi)容 Host、x-cos-content-sha1 和 x-cos-storage-class
• HTTP請求參數(shù)：是 PUT 請求，沒有 ? 參數(shù)

計算簽名

將準備工作中的各項參數(shù)帶入請求簽名規(guī)則，不難就可以得到結果，如下表：

但 q-signature 怎么來的？

剛才說到，q-signature 也需要特定算法計算得來，下面就說明如何計算

計算請求簽名

先看代碼：

/**
 * 計算簽名
 * secretId、secretKey 為必需參數(shù)，qSignStart、qSignEnd為調(diào)試需要，測試通過后應取消，改為方法內(nèi)自動創(chuàng)建
 */
function get_authorization( $secretId, $secretKey, $qSignStart, $qSignEnd, $fileUri, $headers ){
 /* 
 * 計算COS簽名
 * 2018-05-17
 * author:cinlap <cash216@163>
 * ref:https://cloud.tencent.com/document/product/436/7778
 */

 $qSignTime = "$qSignStart;$qSignEnd"; //unix_timestamp;unix_timestamp
 $qKeyTime = $qSignTime;

 $header_list = get_q_header_list($headers);
 //如果 Uri 中帶有 ?的請求參數(shù)，該處應為數(shù)組排序后的字符串組合
 $url_param_list = '';

 //compute signature
 $httpMethod = 'put';
 $httpUri = $fileUri;

 //與 q-url-param-list 相同
 $httpParameters = $url_param_list;

 //將自定義請求頭分解為 & 連接的字符串
 $headerString = get_http_header_string( $headers );

 // 計算簽名中的 signature 部分
 $signTime = $qSignTime;
 $signKey = hash_hmac('sha1', $signTime, $secretKey);
 $httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
 $sha1edHttpString = sha1($httpString);
 $stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
 $signature = hash_hmac('sha1', $stringToSign, $signKey);
 //組合結果
 $authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime&q-header-list=$header_list&q-url-param-list=$url_param_list&q-signature=$signature";
 return $authorization;
}

為了測試，該方法參數(shù)應該是多過需要了，前六個參數(shù)是已經(jīng)給出的，是來自用戶的，因此直接賦值即可得到下邊字符串：

$authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime...

$header_list 這個值要符合 q-header-list 規(guī)則因此需要計算，邏輯是上文已經(jīng)描述，是從既定的請求項中抽出 key 組成有序字符串，代碼如下：

/**
 * 按COS要求對header_list內(nèi)容進行轉(zhuǎn)換
 * 提取所有key
 * 字典排序
 * key轉(zhuǎn)換為小寫
 * 多對key=value之間用連接符連接
 * 
 */
function get_q_header_list($headers){
 if(!is_array($headers)){
  return false;
 }

 try{
  $tmpArray = array();
  foreach( $headers as $key=>$value){
   array_push($tmpArray, strtolower($key));
  }
  sort($tmpArray);
  return implode(';', $tmpArray);
 }
 catch(Exception $error){
  return false;
 }
}

$url-param-list 上面講過，這個值是HTTP請求參數(shù)，對于 PUT 方法沒有 ? 參數(shù)，自然值為空，所以代碼中“偷懶”直接給了空字符串。

Signature 的計算和需要小心的地方

官方已經(jīng)給出了完整的算法，PHP 甚至還有寫好的代碼，應該是很幸福了（但！由于看官方文檔看的頭暈還是踩了坑，隨后一起說明），先看一下 signature 的“格式”：

SignKey = HMAC-SHA1(SecretKey,"[q-key-time]")
HttpString = [HttpMethod]\n[HttpURI]\n[HttpParameters]\n[HttpHeaders]\n
StringToSign = [q-sign-algorithm]\n[q-sign-time]\nSHA1-HASH(HttpString)\n
Signature = HMAC-SHA1(SignKey,StringToSign)

再看一下 Signature 的完整算法：

$signTime = $qSignTime;
$signKey = hash_hmac('sha1', $signTime, $secretKey);
$httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
$sha1edHttpString = sha1($httpString);
$stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
$signature = hash_hmac('sha1', $stringToSign, $signKey);

$signTime：很簡單，起止時間組成的字符串，從上文拿來直接用
$signKey：HMAC-SHA1 算法直接計算即可
$httpString：四個部分組成需要分開說
1、$httpMethod：HTTP請求方法，小寫，比如 put、get
2、$httpUri：HTTP請求的URI部分，從“/”虛擬根開始，如 /testfile 說明在存儲桶根目錄下創(chuàng)建一個叫 testfile 的文件，/image/face1.jpg 說明在根目錄/image目錄下建立一個叫 face1.jpg 的文件，至于是不是圖片文件，不管
3、$httpParameters：這是第一個需要小心的地方。由HTTP原始請求參數(shù)組成，即請求 URI 中 ? 后面的部分，本例調(diào)用的是 PUT Object 接口，因此為空。如果不為空，需要把請求參數(shù)每一項的 key 和 value 均轉(zhuǎn)換小寫，多對 key=value 按字典排序并以 & 相連接
4、$headerString：這是第二個需要小心的地方，由 HTTP 原始請求頭組成，根據(jù)請求頭，選擇全部或部分請求頭，把每項的key都轉(zhuǎn)換為小寫，把value都進行URLEncode轉(zhuǎn)換，每項格式都改為key=value，然后按照key進行字典排序，最后把它們用連接符 & 組成字符串。這是我整理的邏輯，代碼如下：

/**
 * 按COS要求從數(shù)組中獲取 Signature 中 [HttpString] 內(nèi)容
 * 標準格式 key=value&key=value&... 
 * 數(shù)組元素按鍵字典排序 * 
 * key轉(zhuǎn)換為小寫
 * value進行UrlEncode轉(zhuǎn)換
 * 轉(zhuǎn)換為key=value格式
 * 多對key=value之間用連接符連接
 * 
 */
function get_http_header_string($headers){
 if(!is_array($headers)){
  return false;
 }

 try{
  $tmpArray = array();
  foreach($headers as $key => $value){
   $tmpKey = strtolower($key);
   $tmpArray[$tmpKey] = urlencode($value);
  }
  ksort($tmpArray);
  $headerArray = array();
  foreach( $tmpArray as $key => $value){
   array_push($headerArray, "$key=$value");
  }
  return implode('&', $headerArray);
 }
 catch(Exception $error){
  return false;
 }
}

為什么要小心？

HTTP原始請求頭和請求參數(shù)用在了四個地方，分別是請求簽名里的 q-header-list 和 Signature 里的 HttpHeaders——兩者都用到了HTTP原始請求頭；請求簽名里的 q-url-param-list 和 Signature 里的 HttpParameters——兩者都用到了HTTP請求參數(shù)。一定要保證HTTP請求頭和請求參數(shù)所選用的數(shù)量和對象一致

• 相同：生成 q-header-list 的HTTP請求頭數(shù)量和成員要和生成 HttpHeaders 的相同，生成 q-url-param-list 的HTTP請求參數(shù)數(shù)量和成員要和生成 HttpParameters 的相同
• 不同：q-header-list 和 q-url-param-list 只取 key 部分，HttpHeaders 和 HttpParameters 取 key 和 value 部分

輸出結果和校驗

至此，請求簽名中7個值都有了，有的是來自用戶信息，有的需要計算，需要計算的上面也給出了所有的計算方法和為什么如此計算的個人理解。最后只需要按照官方要求進行輸出即可?？匆幌?#127792;，在PostMan中選擇Post方法，選擇form-data方式提交數(shù)據(jù)，在Body中給出所有用戶參數(shù)（這個地方為了測試算法是否與官方一直，所以幾乎所有的值都是Post提交上去的，實際時間、Host都可以在算法中創(chuàng)建）

提交后，返回結果

字很小，單獨把結果提取出來

{
 "Authorization": "q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q-header-list=host;x-cos-content-sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10",
 "Host": "bucket1-1254000000.cos.ap-beijing.myqcloud.com",
 "Content-Length": "12000"
}

Host和Content-Length是我自定義輸出，主要是看Authorization部分，和官方文檔給出的結果值完全一致，說明算法邏輯正確。

吐槽和反思

version 0.2

昨天基于對騰訊云API的“憤慨”和怕忘記而急于記下思路的原因，寫的很是潦草，發(fā)覺吐槽人家官方文檔順序不同自己的更不同，今天重寫

version 0.1

之前 C# 做過一次對接口的研究，死活不行，最后通過騰訊技術支持提供的AWS的SDK調(diào)用成功，真是心累。本次需要用PHP做項目，必須要攻克，本來不應該多難，必須要為自己的智力和年齡討個說法。不過還是想再次吐槽官方文檔，看似詳盡，順序前后不夠一致，示例代碼細節(jié)比如參數(shù)不夠統(tǒng)一，造成新手容易誤解怎么前后對不上，對一些細節(jié)和前后邏輯不能第一時間融匯貫通。比如我自己，就是再次研究接口時，才理解里邊關于[SignHeaderList]等和計算[Signature]有什么關聯(lián)。

最新評論