認(rèn)證鑒權(quán)

基本認(rèn)證

Basic認(rèn)證是客戶端通過(guò)明文（Base64編碼格式）傳輸用戶名和密碼到服務(wù)端進(jìn)行認(rèn)證

curl -u <operator>:<password> http://fss-<區(qū)域>.vhostgo.com/<bucket>/

或者，將用戶名和密碼按 operator:password 拼接 Base64 編碼后加在請(qǐng)求頭的 Authorization 字段中：

1
curl -X GET \
2
    http://fss-my.vhostgo.com/<bucket>/ \
3
    -H "Authorization: Basic XXXX"

簽名認(rèn)證

為了避免基本認(rèn)證中 Base64 編碼可逆帶來(lái)的安全隱患，對(duì)象存儲(chǔ)提供了簽名認(rèn)證這種更安全的認(rèn)證方式。它結(jié)合請(qǐng)求關(guān)鍵信息和用戶身份信息，計(jì)算一個(gè)消息摘要，作為請(qǐng)求的 Authorization，保證請(qǐng)求的安全。

Rest-API簽名認(rèn)證

對(duì)于REST API,認(rèn)證信息 Authorization 放在 Header 中，

簽名計(jì)算方法

xxxxxxxxxx
7
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>
7
))

相關(guān)參數(shù)說(shuō)明

注

• 非必選參數(shù)為空時(shí)，連同后面的 & 一起不參與簽名計(jì)算。所有計(jì)算的 MD5 值，格式均是 32 位小寫(xiě)。
• HMAC-SHA1 輸出的必須是原生的二進(jìn)制數(shù)據(jù)。
• Date 用于驗(yàn)證該簽名是否有效，REST API 簽名有效時(shí)間為請(qǐng)求時(shí)間起的 30 分鐘內(nèi)

舉例

請(qǐng)求簽名

xxxxxxxxxx
9
1
// 操作員信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 參數(shù)信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上傳文件的 MD5
9
Content-MD5 = 7ac66c0f148de9519b8bd264312c4d64

生成 Signature：

xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<Content-MD5>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,PUT&/westtest/07451cbbc932a122a262e39c6a159e7f.jpg&2020-04-23 16:13:54&7ac66c0f148de9519b8bd264312c4d64))
8
// HMAC-SHA1 返回的原生二進(jìn)制數(shù)據(jù)進(jìn)行 Base64 編碼
9
= JFJ3zn/ilY263BtBzz49dvXk3Kw=

Authorization 簽名：

xxxxxxxxxx
1
1
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=

請(qǐng)求 Header：

xxxxxxxxxx
7
1
PUT /westtest/07451cbbc932a122a262e39c6a159e7f.jpg HTTP/1.1
2
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=
3
Content-MD5: 7ac66c0f148de9519b8bd264312c4d64
4
Date: 2020-04-23 16:24:46
5
Content-Type: image/jpeg
6
Host: fss-my.vhostgo.com
7
Content-Length: 33456

Form-API簽名認(rèn)證

對(duì)于FORM API，認(rèn)證信息 Authorization 放在HTTP的body中。 簽名計(jì)算方法

xxxxxxxxxx
8
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>&
7
<Policy>
8
))

相關(guān)參數(shù)說(shuō)明

注

• 非必選參數(shù)為空時(shí)，連同后面的 & 一起不參與簽名計(jì)算。所有計(jì)算的 MD5 值，格式均是 32 位小寫(xiě)。
• HMAC-SHA1 輸出的必須是原生的二進(jìn)制數(shù)據(jù)。
• Date 用于驗(yàn)證該簽名是否有效，REST API 簽名有效時(shí)間為請(qǐng)求時(shí)間起的 30 分鐘內(nèi)

policy 算法

生成步驟

1. 將需要保護(hù)的上傳參數(shù)鍵值對(duì)轉(zhuǎn)換為 JSON 字符串
2. 將第 1 步所得到的字符串進(jìn)行 Base64 Encode 處理，得到 policy

注

• 參數(shù)和參數(shù)值必須是 UTF-8 編碼，且不包含換行符。
• 參數(shù) date 和 content-md5 就是簽名中的 Date 和 Content-MD5，無(wú)需再加到policy參數(shù)列表中。

舉例

xxxxxxxxxx
10
1
// 操作員信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 參數(shù)信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上傳參數(shù)，需要計(jì)算 Policy
9
save-key = /{year}/{mon}/{day}/west_{random32}{.suffix}
10
expiration = 1800

生成 Policy

?x
1
Policy = Base64 ({"save-key": "/{year}/{mon}/{day}/west_{random32}{.suffix}", "expiration": 1800)}
2
       = eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=
3
?

生成 Signature

xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<policy>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,POST&/westtest&2023-06-05 10:54:01&eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=))
8
// HMAC-SHA1 返回的原生二進(jìn)制數(shù)據(jù)進(jìn)行 Base64 編碼
9
= w2pjeLG5KNieSR4KrYe/7u7QlbA=

Authorization 簽名

xxxxxxxxxx
1
1
authorization=WESTYUN westtest:w2pjeLG5KNieSR4KrYe/7u7QlbA=

完整請(qǐng)求示例