AWSS3 iOS 认证方法-V4认证

最新推荐文章于 2024-05-10 09:32:38 发布
最新推荐文章于 2024-05-10 09:32:38 发布
阅读量2.6k 收藏
点赞数
分类专栏: iOS进阶 文章标签: AWSS3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leleyuan1130/article/details/128715279
版权

AWSS3 iOS 认证方法-V4认证

身份验证方法

HTTP验证头

使用HTTP验证请求头是最普遍的验证请求方法.

查询字符串参数

可以在URL中使用一个查询字符串来表示验证请求. 这种情况下,可以使用查询参数来请求信息,包括验证信息.
由于请求签名是URL中的一部分,URL的类型经常被认为是一个预签名的URL.可以在HTML中使用预签名的URL嵌入可点击的链接,有效期长达7天.

签名请求介绍

请求中的验证信息包括一个签名. 为了计算签名,
首先,计算选择请求元素来生成一个字符串,简称签名字符串.
其次,使用签名密钥来计算签名串的基于哈希散列的验证码.
在V4验证中,不使用AK和SK来签名请求,使用AK和SK创建签名密钥. 签名密钥的作用范围是一个特定的区域和服务,它用不过期.

计算签名过程
  1. StringToSign :
 A string based on select request elements.
  1. Signing Key 
DateKey = HMAC-SHA256("AWS4" + "<SecretAccessKey>","<yyyymmdd>")
DateRegionKey = HMAC-SHA256(DateKey,"<aws-region>")
DateRegionServiceKey = HMAC-SHA256(DateRegionKey,"<aws-service>")
SigningKey = HMAC-SHA256(DateRegionServiceKey, "aws4_request")
  1. Signature
signature = Hex(HMAC-SHA256(SigningKey, StringToSign))

签名字符串依赖请求类型.例如,当使用HTTP验证请求头或查询字符串参数验证签名的,
使用不同的请求元素组合来创建签名字符串.
对于一个HTTP POST请求,请求中的POST的策略就是签名字符串. 一旦收到验证消息,服务器使用请求中包含的验证信息来创建签名.
如果签名匹配,请求验证通过,否则请求被拒绝.
签名计算根据选择传送文件的选项变化而变化.
目前支持传送单块和传送多块选项.

传送单块

包括有符号的文件选项和无符号的文件选项.
有符号的文件选项计算整个文件的校验并在签名中包括它.
这提供了额外的安全性,但是需要读取文件两次或在内存中缓冲它.
例如,为了上传一个文件,首次读取文件是为了签名计算一个文件哈希,再次读取文件是创建请求时的传输.
对于小文件这样是可以接受的,但是对于大文件,读取两次文件不是高效的,因此上传多个块来支持这种情况.
无符号的文件选项不包括签名计算中的文件校验.

认可的规范行为:

  1. Canonical Request
    HTTP Verb + “\n” +
    Canonical URI + “\n” +
    Canonical Query String + “\n” +
    Canonical Headers + “\n” +
    Signed Headers + “\n” +
    Hashed Payload
  2. StringToSign
    “AWS4-HMAC-SHA256” + “\n” +
    TimeStamp + “\n” +
    Scope + “\n” +
    Hex(SHA256Hash(Canonical Request))

Signing Key:
DateKey = HMAC-SHA256(“AWS4” + “”,“”)
DateRegionKey = HMAC-SHA256(DateKey,“”)
DateRegionServiceKey = HMAC-SHA256(DateRegionKey,“”)
SigningKey = HMAC-SHA256(DateRegionServiceKey, “aws4_request”)

Signature = Hex(HMAC-SHA256(SigningKey, StringToSign))

以上:
Canonical Request说明:
HTTP Verb : “GET / PUT / POST /…”,
Canonical URI : UriEncode(resource),
Canonical Query String :
UriEncode(QueryParametert1)+ “=” + UriEncode(value) + “&” +

UriEncode(QueryParameterN) + “=” + UriEncode(value)
(Sorted by QueryParamete)
Canonical Headers :
Lowercase(HeaderName1) + “:” + Trim(value) + “\n”
…+
Lowercase(HeaderNameN) + “:” + Trim(value) + “\n”
(Sorted by HeaderName)
Signed Headers :
Lowercase(HeaderName1) + “;” +
Lowercase(HeaderName2) + “;” +
… +
Lowercase (HeaderNameN)
(Sorted by HeaderName)
Hashed Payload : (Hex(SHA256Hash(payload))

StringToSign说明:
TimeStamp: Format IS08601, e.g. “20130524T000000Z”
Scope: “yyyymmdd/AWS Region/s3/aws4_request” e.g.,“20130524/us-east-1/s3/aws4 request”

传送多块

采用多块传输文件不考虑文件的大小.
将文件分成多块,可以是固定的或可变大小的块.
通过多块上传,避免了读取整个文件来计算签名,取而代之的是对于第一块,仅仅使用请求头计算种子签名.
第二块保存第一块的签名,后续的块保存上一个块的签名.
在上传结束时,发送一个0字节数据的包括了最后一个块的签名的完成块.

计算种子签名的原理:
1. Canonical Request
HTTP Verb + “\n” +
Canonical URI + “\n” +
Canonical Query String + “\n” +
Canonical Headers + “\n” +
Signed Headers + “\n” +
“UNSIGNED-PAYLOAD”
2. StringToSign
“AWS4-HMAC-SHA256” + “\n” +
TimeStamp + “\n” +
Scope + “\n” +
Hex(SHA256Hash(Canonical Request))
3. Signature
Signing Key:
DateKey = HMAC-SHA256(“AWS4” + “SecretAccessKey”,“yyyymmdd”)
DateRegionKey = HMAC-SHA256(DateKey,“aws-region”)
DateRegionServiceKey = HMAC-SHA256(DateRegionKey,“aws-service”)
SigningKey = HMAC-SHA256(DateRegionServiceKey, “aws4_request”)

Signature = Hex(HMAC-SHA256(SigningKey, StringToSign))

以上:
Canonical Request说明:
HTTP Verb : “GET / PUT / POST /…”
Canonical URI : UriEncode(resource)
Canonical Query String :
UriEncode(QueryParametert1)+ “=” + UriEncode(value) + “&” +

UriEncode(QueryParameterN) + “=” + UriEncode(value)
(Sorted by QueryParamete)
Canonical Headers :
Lowercase(HeaderName1) + “:” + Trim(value) + “\n”
…+
Lowercase(HeaderNameN) + “:” + Trim(value) + “\n”
(Sorted by HeaderName)
Signed Headers :
Lowercase(HeaderName1) + “;” +
Lowercase(HeaderName2) + “;” +
… +
Lowercase (HeaderNameN)
(Sorted by HeaderName)

StringToSign说明:
TimeStamp: Format IS08601, e.g. “20130524T000000Z”
Scope: “yyyymmdd/AWS Region/s3/aws4_request”
e.g. “20130524/us-east-1/s3/aws4 request”

在发送请求时,在x-amz-content-sha256 头中必须指明选择了哪种签名计算方式,包括以下中的一种:
. 选择多块上传 x-amz-content-sha256值为STREAMING-AWS4-HMAC-SHA256-PAYLOAD
. 选择单块上传 x-amz-content-sha256值为检验值,或者该值为UNSIGNED-PAYLOAD

验证请求头

使用验证消息头是最普遍的提供验证信息的方法.除了post请求和使用查询参数签名的请求外,
所有bucket操作和object操作都是使用验证请求头来提供验证信息的.

举例:

Authorization: AWS4-HMAC-SHA256
Credential=AKIAIOSFODNN7EXAMPLE/20130524/us-east-1/s3/aws4_request,
SignedHeaders=host;range;x-amz-date,
Signature=fe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024

说明:
AWS4-HMAC-SHA256: 计算签名的算法,使用V4签名验证必须提供该值。
Credential: 访问密钥标识和范围信息。包括日期,区域和用来计算签名的服务。
该字段格式如下:your-access-key-id/date/aws-region/aws-service/aws4_request
其中:date该值使用YYYYMMDD格式。aws-service该值是s3
SignedHeaders: 用于计算签名的分号分隔的请求标头列表。这个列表仅包括头名称(必须小写)。
Signature: 16进制小写字符表示的256位签名。
例如: fe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024

使用查询参数

当你想在一个URL中表达一个请求时,使用查询参数来验证请求时非常有用的.这种方法也被称为预签名URL.
一个预签名URL使用的情况是,你可以给你的资源临时访问权限.
例如,可以在网站中嵌入一个预签名URL或者在客户端使用这个URL来下载object

举例:

https://s3.amazonaws.com/examplebucket/test.txt
?X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=<your-access-key-id>/20130721/us-east-1/s3/aws4_request
&X-Amz-Date=20130721T201207Z
&X-Amz-Expires=86400
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<signature-value>

说明:
换行是为了提升可读性。
URL中的x-amz-credential值显示“/”字符是为了可读性。实际中应该编码为%2F
例如: &X-Amz-Credential=<your-access-key-id>%2F20130721%2Fus-east-1%2Fs3%2Faws4_request

字段说明:
X-Amz-Algorithm: 标识签名版本和计算签名的算法。
X-Amz-Credential: 访问密钥标识和范围信息。包括日期,区域和用来计算签名的服务。
该字段格式如下:your-access-key-id/date/aws-region/aws-service/aws4_request 其中:date该值使用YYYYMMDD格式。aws-service该值是s3
X-Amz-Date: 日期和时间格式必须遵守ISO 8601标准。采用格式为yyyyMMddTHHmmssZ
X-Amz-Expires: URL的有效期,以秒形式表示。
X-Amz-SignedHeaders: 列出用于计算签名的头文件。签名计算中需要HTTP的host头和任何添加到请求中的x-amz- 头。
为了安全起见,请将所有签名计算需要的头信息放入请求中。
X-Amz-Signature: 提供签名来验证请求。

计算签名:

  1. Canonical Request
    HTTP Verb + “\n” +
    Canonical URI + “\n” +
    Canonical Query String + “\n” +
    Canonical Headers + “\n” +
    Signed Headers + “\n” +
    “UNSIGNED-PAYLOAD”
  2. StringToSign
    “AWS4-HMAC-SHA256” + “\n” +
    TimeStamp + “\n” +
    Scope + “\n” +
    Hex(SHA256Hash(Canonical Request))
  3. Signature
    Signing Key:
    DateKey = HMAC-SHA256(“AWS4” + “SecretAccessKey”,“yyyymmdd”)
    DateRegionKey = HMAC-SHA256(DateKey,“aws-region”)
    DateRegionServiceKey = HMAC-SHA256(DateRegionKey,“aws-service”)
    SigningKey = HMAC-SHA256(DateRegionServiceKey, “aws4_request”)

Signature = Hex(HMAC-SHA256(SigningKey, StringToSign))
以上:
Canonical Request说明:
HTTP Verb : “GET / PUT / POST /…”
Canonical URI : UriEncode()
Canonical Query String :
UriEncode(QueryParametert1)+ “=” + UriEncode(value) + “&” +
…+
UriEncode(QueryParameterN) + “=” + UriEncode(value)
(Sorted by QueryParamete)
Canonical Headers :
Lowercase(HeaderName1) + “:” + Trim(value) + “\n”

Lowercase(HeaderNameN) + “:” + Trim(value) + “\n”
(Sorted by HeaderName)
Signed Headers :
Lowercase(HeaderName1) + “;” +
Lowercase(HeaderName2) + “;” +
… +
Lowercase (HeaderNameN)
(Sorted by HeaderName)

StringToSign说明:
TimeStamp: Format IS08601, e.g. “20130524T000000Z”
Scope: “yyyymmdd/AWS Region/s3/aws4_request”
e.g. “20130524/us-east-1/s3/aws4 request”

哎呦喂-ll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS S3预签名URL的坑
q113380947的博客
02-28 185
在做这个引入的时候,需要安装@aws-sdk/s3-request-presigner,如果你直接NPM INSTALL @aws-sdk/s3-request-presigner会出现一个版本不一致的错误No matching version found for @aws-sdk/signature-v4-multi-region@3.521.0。请指定版本为3.515.0,或者确认一下你环境里使用的AWS SDK S3的版本,保持一致就可以了。
aws-v4:使用AWS Signature版本4为API网关(execute-api)生成AWS签名v4
05-19
AWS-V4 一个小的实用程序,可使用普通nodejs生成 。 用例尤其适用于AWS API GATEWAY(excute-api)服务。 安装 npm install aws-v4 例子 下面的示例使用post请求,您还可以使用其他请求,例如: get , put , delete const axios = require ( 'axios' ) ; const awsV4 = require ( 'aws-v4' ) ; // Sign your request // This example is post request, you can const signedRequest = awsV4 . newClient ( { accessKey : < AWS> , secretKey: < AWS_SECRET_KEY
探索aws4:签名版4的简单实用工具
最新发布
gitblog_00006的博客
05-10 349
探索aws4:签名版4的简单实用工具 项目地址:https://gitcode.com/mhart/aws4 项目介绍 aws4是一个小巧的Node.js库,专门用于为标准HTTP(S)请求选项添加亚马逊AWS签名版本4(Signature Version 4)的支持。它不仅提供签名功能,还默认设置了一些核心的AWS头部和请求参数,使得查询AWS服务或构建全面的AWS库变得轻而易举。 项目技术分析...
AWS V4签名实现(C版本)
Andy Tools
07-30 4312
如果要使用AWS提供各种服务的restful API 都不能避开AWS V4签名。(当然你可以使用sdk,简单粗暴) AWS V4签名逻辑文档: https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/API/sig-v4-authenticating-requests.html JavaScript实现签名流程: https://blog.c...
AWSS3 iOS SDK使用教程
leleyuan1130的博客
01-17 2602
iOS AWSS3 SDK使用教程
AWS_S3_iOS_Tutorial:将Amazon AWS S3存储与iOS Swift App结合使用
05-06
教程:将Amazon AWS S3存储与iOS Swift应用程序一起使用 尽管Amazon Mobile SDK文档非常完整,但对于入门人员来说可能会造成混淆。 像任何后端服务一样,AWS有很多活动部件,您需要在应用程序运行之前让它们全部协同工作。 本教程将通过使用XCode 6和Apple Swift构建可从AWS S3(简单存储服务)读取数据的iOS应用程序来开始使用Amazon AWS。 当然,您的生产应用程序还需要做更多的工作,所有其他功能点都将基于本教程中将要进行的设置。 准备好? 让我们开始吧! 过程概述 为了使您的应用程序能够正常运行并从S3中读取内容,您需要做一些事情。 首先是创建一个Amazon开发人员ID。 我假设您已经完成了此操作,如果没有,请转到Amazon AWS开发人员主页,然后单击页面右上方的橙色的“免费试用AWS”按钮。 然后回到本教程,以便我们开始。
aws4-signature:AWS 版本 4 签名生成器
06-28
aws4-签名 AWS 版本 4 签名生成器 例子 var aws4_sign = require ( "aws4-signature" ) ; var signature = aws4_sign ( "wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY" , "2011-09-09T12:00:00.000Z" , "us-east-1" , "iam" , "AWS4-HMAC-SHA256\n20110909T233600Z\n20110909/us-east-1/iam/aws4_request\n3511de7e95d28ecd39e9513b642aee07e54f4941150d8df8bf94b328ef7e55e2" ) ; // Outputs "ced6826de92d2bdeed8f846f0bf508e8559e
awss3-1.6.53.zip
12-01
这个"awss3-1.6.53.zip"压缩包可能是AWS S3的C++ SDK的一个版本,允许开发者在C++应用程序中与AWS S3进行交互。 C++ SDK是亚马逊官方提供的一套库,旨在简化开发人员在C++环境中使用AWS服务的过程。对于S3服务,SDK...
awss3-maven-wagon-0.1.jar
03-12
官方版本,亲测可用
awss3-maven-wagon-0.1-sources.jar
03-12
官方版本,亲测可用
ua-aws-sdk-ios:适用于Amazon Web Services(AWS)的iOS SDK
05-14
适用于iOSAWS开发工具包(未签名的应用程序版本) 这是的到Objective-C的端口。 它旨在(最终)扩大对适用于iOS的正式AWS开发工具包的覆盖范围,并改进队列和块用于处理响应的用法。 注意:这是预发行软件,因此...
OCAWS.m:适用于iOS和WatchOS的自包含轻量级AWS S3上载和下载
05-10
OCAWS.m 适用于iOS和WatchOS的自包含轻量级AWS S3上载和下载 例如,将文件上传到S3 ... # import " OCAWSS3.h " // Create s3 interface object... OCAWSS3* s3 = [[AWSS3 alloc ] init ]; s3.access_key = @" AKXXXXXXXXXXXXXXXXXX " ; s3.secret_key = @" XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX " ; s3.endpoint = @" s3-ap-southeast-2.amazonaws.com " ; s3.bucket = @" mybucket " ; // Create Upload URL... NSURL * url = [s3 put_url: @" my_f
AWS S3-cli用户指南.pdf
03-18
AWS S3-cli用户指南.pdf
企企云ERP OpenAPI接口--.Net Core Aws Sigv4 快速编码
蹒跚路行
11-09 424
企企目前针对.net core还没有速度快,引入 Aws Sigv4 快速开发。先申请key然后通过code模式获取openId.
AWS S3服务
阿飞小伙子_博客
05-21 4607
写在开头 最近工程中做了一个视频上传的相关需求,使用了亚马逊AWS S3服务作为存储,关于IOS的资料比较少,也填了不少坑,这里总结一下: S3服务 Amazon Simple Storage Service (Amazon S3) 是一种对象存储服务,提供行业领先的可扩展性、数据可用性、安全性和性能。自己去查官网吧:https://aws.amazon.com/cn/s3/ ...
AWS V4鉴权之ElasticSearch
wleng的博客
12-26 1909
背景 Amazon签名版本4是将身份验证信息添加到HTTP发送的AWS请求的过程。为了安全起见,大多数对AWS的请求必须使用访问密钥进行签名,该访问密钥由访问密钥ID和秘密访问密钥组成。 在使用AWS的ElasticSearch服务时需要对请求鉴权,需要将你的aws_access_key_id和aws_secret_access_key作为请求的安全凭证进行安全校验。本文讲述的是进行Web开发...
AWS SDK for iOS
zhuxincheng_1218的专栏
09-04 1633
文章目录AWS SDK for iOSFeatures / APIsVisit our [Web Site](https://aws-amplify.github.io) to learn more about Amplify Framework.SetupInclude the SDK for iOS in an Existing ApplicationCocoaPodsCarthageFram...
aws 视频上传s3
label_A的博客
07-09 3267
需要用的类#import &lt;AWSS3.h&gt;#import &lt;AWSCore.h&gt;1.权限配置:访问控制列表 必须公有2.存储桶策略需要在编辑器加以下代码//注意:ioslovebaby-userfiles-mobilehub-1550421617 存储桶的名称//其他固定{    "Version": "2012-10-17",    "Statement": [    ...
Building iOS Apps with AWS Mobile 使用AWS Mobile构建iOS应用程序 Lynda课程中文字幕
lyndacn的博客
02-26 339
Building iOS Apps with AWS Mobile 中文字幕 使用AWS Mobile构建iOS应用程序 中文字幕Building iOS Apps with AWS Mobile 今天的许多iOS应用程序都依赖于云服务来实现身份验证,数据库集成和文件存储等功能 AWS Mobile可以提供所有这些功能,同时避免实际的服务器端开发需求 在这个基于项目的课程中,讲师Bear Cah...
AWSS3报错NSErrorFailingURLStringKey
06-10
3. 检查您的网络连接是否正常,尝试使用其他网络连接或者重启您的网络设备。 4. 如果您使用的是 AWS SDK,请检查您的代码是否正确,例如是否正确配置了 AWS 认证信息等。 如果您仍然无法解决问题,请尝试查看 AWS ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值