ECS_API中Signature错误的排查方法

最新推荐文章于 2023-09-13 14:15:46 发布
最新推荐文章于 2023-09-13 14:15:46 发布
阅读量516 收藏 1
点赞数

原文链接

ECS API中Signature错误的排查方法

huigher  2017-05-09 00:32:40  浏览28  评论0

算法 阿里云 ECS API timestamp Access 签名 utf-8

摘要: Signature的生成方法 将get中提交的参数(除了aks以外所有的参数)按照一定的组成规则拼成一个字符串,前面再加上GET&/&组成StringToSign,然后对StringToSign做 HMAC计算,以Access Key Secret+一个“&”号为HMAC计算的key,最终算出的字符串就是Signature。

Signature的生成方法

将get中提交的参数(除了aks以外所有的参数)按照一定的组成规则拼成一个字符串,前面再加上GET&/&组成StringToSign,然后对StringToSign做 HMAC计算,以Access Key Secret+一个“&”号为HMAC计算的key,最终算出的字符串就是Signature。

排查思路

若碰到反馈Signature错误,可以排查以下几点:
1. 在构造“StringToSign”时是否对key值做了A-Z的字典排序
2. 是否将所有的参数都放入了StringToSign
3. 计算前是否对StringToSign中的值做了urlencode,即将一些特殊的字符替换成类似%3D这样的字符串,如“=”需要替换成“%3D”,“/”要替换成“%2F”等,参见下述说明:
a、 对于字符 A-Z、a-z、0-9 以及字符“-”、“_”、“.”、“~”不编码;
b、 对于其他字符编码成 “%XY” 的格式,其中 XY 是字符对应 ASCII 码的 16 进制表示。比如英文的双引号(”)对应的编码就是 %22
c、 对于扩展的 UTF-8 字符,编码成 “%XY%ZA…” 的格式;
d、 需要说明的是英文空格( )要被编码是 %20,而不是加号(+)。
4. 是否使用了指定的算法,目前Signature需要使用HMAC-SHA1算法,在Java中通过Mac mac = Mac.getInstance("HmacSHA1");来获得HMAC-SHA1算法的对象
5. 检查HMAC-SHA1运算时是否是将Access Key Secret+&作为key(如Access Key Secret为abc,那么使用“abc&”作为运算的key),运算过程编码使用UTF-8编码

以下是一个例子

1、 比如说要查询可用的镜像,先加入除了Signature以外所有的参数(值被忽略):

[ImageOwnerAlias, SignatureVersion, Action, Format, PageSize, SignatureNonce, Version, AccessKeyId, SignatureMethod, RegionId, Timestamp]

2、 对它们进行字典排序:

[AccessKeyId, Action, Format, ImageOwnerAlias, PageSize, RegionId, SignatureMethod, SignatureNonce, SignatureVersion, Timestamp, Version]

3、 挨个将它们拼接在一起(注意这个时候Timestamp中的值就已经经过了urlencode了,将“:”替换为“%3A”):

AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26

4、 在前面加上GET&/&:

GET&/&AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26

5、 再对整个字符串做urlencode,可以看到其中的“/”、“=”和参数键值对中的“&”都已经被替换,注意最前面的GET之后的两个“&”并没有被替换:

GET&%2F&AccessKeyId%3D6olc8au16tjr574v222c923p%26Action%3DDescribeImages%26Format%3DXML%26ImageOwnerAlias%3Dsystem%26PageSize%3D10%26RegionId%3Dcn-hangzhou%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D352f98b6-5fbe-489c-b8a4-5d484939a8d5%26SignatureVersion%3D1.0%26Timestamp%3D2015-09-12T07%253A45%253A58Z%26Version%3D2014-05-26

6、 然后构造HMAC运算的key,很简单,将Access Key Secret再加上一个“&”即可:

IamAccessKeySecret&

7、 扔给电脑做HMAC-SHA1运算,然后算出来一个最终的字符串:

53wPekiWxh45TgPxVb4bkXrzZ6M=

8、 这个字符串就是最终的Signature值,然后将其加入到HTTP get请求中,组成最终的get参数字符串,特别要注意Signature加入后需要确认其中的特殊符号如“=”是否被转换为%xx的字符串。

ImageOwnerAlias=system&SignatureVersion=1.0&Action=DescribeImages&Format=XML&PageSize=10&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&Version=2014-05-26&AccessKeyId=6olc8au16tjr574v222c923p&Signature=53wPekiWxh45TgPxVb4bkXrzZ6M%3D&SignatureMethod=HMAC-SHA1&RegionId=cn-hangzhou&Timestamp=2015-09-12T07%3A45%3A58Z

9、 然后就可以向ECS的API服务器发送请求了

参考文档

1.官网的生成Signature文档:https://help.aliyun.com/document_detail/25492.html


bystarlight
关注
腾讯云API接口鉴权v3 鉴权失败问题 AuthFailure.SignatureFailure(转载)
Solomwn的博客
08-26 3700
最近我开发的CRM项目正好在做营销短信的功能,这个功能需要对接腾讯云的第三方短信接口。众所周知,对接接口最难的就是鉴权部分了,毕竟为了安全嘛。云API鉴权一直是比较晦涩难懂的,建议大家还是去github下载安装SDK,可以免去鉴权这一步,非常方便。 但是既然发这篇文章,我最终还是选择了使用API的方式。下面简单说一下我在鉴权遇到的坑: {“Response”:{“Error”:{“Code”:“AuthFailure.SignatureFailure”,“Message”:“The provided cre
API接口安全之签名验签(一)
尼古拉斯大树的博客
10-08 6001
简介 现在越来越多人关注接口安全,传统的接口在传输的过程,容易被抓包然后更改里面的参数值达到某些目的。 传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调。 这时候我们可以通过对参数进行签名验证,如果参数与签名值不匹配,则请求不通过,直接返回错误信息 项目代码地址: https://github.com/loafer7423/signature.git ...
微信分享提示signature错误
dili8697的博客
04-08 402
本来用着好好地,突然和我说不行了.网上搜了好多,自己也不是第一次遇到分享失败,然后看了半天代码。最后无意发现原来这个公众号要年审了但没去审核。现在是未认证。。。 转载于:https://www.cnblogs.com/Ffreeway/p/8744854.html...
APISignature(签名)&Token(令牌) 认证
weixin_34090562的博客
07-04 899
2019独角兽企业重金招聘Python工程师标准>>> ...
ECS APISignature错误排查方法
weixin_34384915的博客
05-09 148
Signature的生成方法 将get提交的参数(除了aks以外所有的参数)按照一定的组成规则拼成一个字符串,前面再加上GET&/&组成StringToSign,然后对StringToSign做 HMAC计算,以Access Key Secret+一个“&”号为HMAC计算的key,最终算出的字符串就是Signature排查...
阿里云ECS API参考手册:实例、磁盘、镜像与安全组操作
ECS-API-Reference.pdf”是阿里云ECS(Elastic Compute Service)的API参考手册,主要涵盖阿里云弹性计算服务的各种接口及调用方式。 在本手册,首先介绍了“简介”,其包含了关于术语表的基本信息,帮助读者...
阿里云分布式应用服务EDAS-API参考手册.pdf
10-11
API请求通常采用HTTP的GET方法,请求参数会包含在URL。每个请求都需指定`Action`,即要执行的操作,同时包含公共请求参数和特定操作所需的额外参数。 常见的公共请求参数有: 1. `Format`:返回值的类型,通常是...
阿里云E-MapReduce-API手册.pdf
10-11
- ECS服务会验证每个请求,需要在请求包含签名信息。 - 使用Access Key ID和Access Key Secret进行身份验证,Access Key ID公开,用于标识身份,Access Key Secret保密,用于签名和验证。 - 签名过程涉及对请求...
阿里云API网关(9)常见问题
weixin_30945039的博客
07-21 8963
网关指南:https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台:https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、如何获取错误信息...
2、获取app-token
jiangfeng82的专栏
09-13 575
以上是官方发布的接口信息,这里面有个坑,就是X-Api-Signature的加密,一定看好clientId、app_key、app_secret等这几个参数,以下截图是一步步调试后的结果。通过clientId、app_key、app_secret获取。
某网站X-Signature签名破解
cp's blog
11-22 1983
网站签名机制是很常见的技术手段,本文介绍某网站X-Signature签名破解,js还原
python实现阿里云Signature签名计算
m0_37549390的博客
06-17 3106
以前工作写脚本访问阿里云的资源时,都是通过调用系统命令(调用CLI工具)的方式,这次尝试通过http请求来实现想要的操作。 本次实现遇到的问题 1、想api发送请求是总是返回报错:The specified pamareter Version is not valid,从报错上看是参数设置的Version的值有问题,但反复核实请求带的Version并没有问题。 解决方法:如果你遇到同样的问题,估计跟我一样,在向api发送请求是也是以调用系统命令curl的方式来实现的,这里要把请求的url用引号引
x-api接口鉴权架构设计和实现【万字+深度】
FeelTouch Labs
09-16 1082
x-api鉴权API可以实现身份认证、流量控制等各个模块的校验,判断其请求的合法性等。
关于CSDN获取博客内容接口的x-ca-signature签名算法研究
Hello_wshuo
10-27 3326
前言 源码下载 不知道怎么就不通过了,这篇文章放出去几个月了,然后突然告诉我不行了,所以我打算换个平台(至少不能在一棵树吊死),垃圾审核 我最初想直接获取html博客,然后保存在本地,最后发布到别的博客平台,但是html直接爬取样式布局方面很不协调,所以我决定寻早我原始的markdown格式(我都是用markdown写的,而不是用富文本编辑器) 接口 简单调试得到 https://bizapi.csdn.net/blog-console-api/v3/editor/getArticle?id=109204
kafka-manager连接kerberos认证的kafka
huanqingdong的专栏
12-16 4345
标题
微信公众号之:JSSDK接入以及invalid signature等常见错误问题
疯一样的女子
06-04 1837
最近在搞微信公众号开发,进行到网页开发部分被坑了一天,最坑的问题就是invalid signature,而网上大部分解答这个问题的都没有说清楚,都直接丢文档。博主认为这样很不好。本文是博主结合自身遇到的问题所写,整个流程跟问题都很详细,虽然排版可能有点不好。但是绝对对遇到类似问题的朋友有所帮助。请认真看下去 一、绑定JS接口安全域名 生产号绑定方法:登录微信公众平台进入“公众号设置”的“功能设置”里填写“JS接口安全域名”。 测试号绑定方法:进入测试号管理页面,找到JS接口安全域名项绑定 JS接口安全域名
报错Supplied parameters do not match any signature of call target
前端啤酒屋
11-12 484
问题原因是html所绑定的方法与ts页面的方法参数不一致导致的
电销机器人开发引导
yuncall的博客
05-27 566
开发引导 1.认证 为确保您的账户 和信息安全,请在开发对接程序前支持接口调用专属密钥。 您必须替换对接密钥 APP KEY 和 APP SECRET在您的对接程序,密钥可在 https://saas.telrobot.top 平台登录后,在个人信息页面获取 app key 和 app secret。 API认证采用HMACSha1加密算法进行加密,使用 app secret、app key 和GMT时间戳共同生成一个sign签名,在每次调用请带上如下参数或将参数添加到请求头: PHP 生成签名算法:
SPRINGBOOT-9 Signature JAVA API
guotch的专栏
07-10 532
必须先要吐槽一下,一个API连个好用的文档都没有,全靠和人当面沟通,浪费了一整天的时间调接口。 先上代码: 以下函数为API提供方提供的代码,大致就是把所有的参数全部打包起来和timestamp一起做一个SHA1加密。 public static String signatureWithParamsAndUrlPath(String urlPath, Map<Stri...
'TestIpv6Address' object has no attribute 'ecs_api'
最新发布
06-04
这个错误通常出现在Python编程,意思是'TestIpv6Address'对象没有'ecs_api'属性。这可能是因为在代码没有正确地初始化该属性或者在某些情况下可能会导致该属性被删除。解决方法是检查代码并确保在使用'ecs_api'属性之前正确初始化它。如果需要更多帮助,请提供更多上下文或代码细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值