【转】AWS s3 V4签名算法

最新推荐文章于 2024-03-02 19:54:37 发布
最新推荐文章于 2024-03-02 19:54:37 发布
阅读量2k 收藏
点赞数
分类专栏: 云存储

转载请注明:http://www.jianshu.com/p/a6a02309190f

一、开篇说明:

以下思考方向,是以Android端为出发点(IOS同理)
AWS:Amazon Web Services (亚马逊云服务)
AWS s3 API文档:https://aws.amazon.com/cn/documentation/s3/


Minio :(具体的解释自行百度吧)一个基于 golang 语言开发的 AWS S3 存储协议的开源实现,并附带 web ui 界面,可以通过 Minio 搭建私人的兼容 AWS S3 协议的存储服务器。

二、需求分析

项目需求:最近公司需要搭建一个文件服务器,让移动端(Android、ios)用来存储图片等文件。这个文件服务器后台使用minio搭建的。由于minio是基于AWS S3 存储协议,所以我们移动端也需要实现相同的协议来上传。移动端,我们确定了三种可行方案(方案优劣仅是基于对APK打包大小的影响程度来确定的):

  • 方案一:基于AWS S3 存储协议自己实现文件上传(最佳方案,最后项目引入文件最小----大约100K,不影响apk大小)
  • 方案二:使用AWS SDK 实现文件上传(中间方案,需要引入项目的jar包1.5M文件略大)
  • 方案三:使用minio SDK 实现文件上传(最差方案,需要引入6M jar包)

三、代码实现

由于项目需求不同,供大家自行选择,我将这三种方案实现一一说明。

方案三:

demo下载:https://github.com/Nergal1/minio-demo

  • 1.Android端引入minio SDK jar包会和原生的发生冲突,会报一些安全错误。
    引入时,去除冲突的包,com.fasterxml.jackson.core和com.google.code.findbugs: 
     
    1.  
    2.  
    3.  
    4.  
    5.  
    6.  
  • 2.上传代码: 
     
    1.  
    2.  
    3.  
    4.  
    5.  
    6.  
    提醒:别忘了开启网络权限
  • 3.简易源码流程图,数字代表行号:

    minio上传源码简易流程图

方案二:

demo下载:https://github.com/Nergal1/AWS-S3-demo

  • 1.由于AWS SDK源码中是开启Service,然后创建线程池实现异步上传、下载功能。
    清单文件要注册service:

     
    1.  
    2.  

    权限:

     
    1.  
    2.  
    3.  
    4.  

    Android 6.0+文件读写权限需要代码中实时获取,demo中未作兼容。如有文件问题,请自行添加。

  • 2.引入jar包:
    aws-android-sdk-core-2.4.2.jar
    aws-android-sdk-s3-2.4.2.jar

  • 3.先配置Constants.java中的ENDPOINT、ACCESSKEY、SecretKey、BUCKET_NAME
    上传代码见UploadActivity.java(下载请自行查看DownloadActivity): 
     
    1.  
    2.  
    3.  
    4.  
    5.  
    6.  
     
    1.  
    2.  
    3.  
    4.  
    5.  
    6.  
    7.  
    8.  
    9.  
    10.  
    11.  
    12.  
    13.  
    14.  
    15.  
    16.  
    17.  
    18.  
    19.  
    20.  
    21.  
    22.  
    23.  
    24.  
    25.  
  • 4.源码简易流程图,数字代表行号:

    aws sdk上传源码简易流程图
  • 3.实现原理分析:
    实际上AWS S3 存储协议只不过是添加一些跟服务端协商的请求头,请求头的value是用AWS s3 V4签名算法算出来的。所以,上传时带上指定的请求头,以及合法的签名算法,其他地方跟普通上传没区别。服务端拿到请求头后,根据合法的签名算法,计算签名值,然后跟客户端请求头里的签名进行校验,成功后,服务端才允许上传。
    首先我们要解决两个问题:

    • (1)指定的请求头有哪些?

      首先我们来看一个文件上传的请求: 
       
      1.  
      2.  
      3.  
      4.  
      5.  
      6.  
      7.  
      8.  
      9.  
      10.  
      11.  
      12.  
      13.  
      14.  
      15.  
       
      1.  
      2.  
      3.  
      一大堆请求头,实际上根据 S3 API 文档,Authorization请求头才是必要的
      而Authorization的value中SignedHeaders是规定了使用哪些请求头来计算本次请求的签名值。

      注意:SignedHeaders还规定了请求头的顺序。后面计算签名流程图中Canonical Request拼接请求头的顺序与SignedHeaders必须保持一致。

      也就是说content-md5;host;x-amz-content-sha256;x-amz-date;x-amz-decoded-content-length这些请求头计算出来Signature的值。根据S3 API 文档,SignedHeaders中host;x-amz-content-sha256;x-amz-date是必须存在的。

      那为什么本次请求还要加上content-md5,x-amz-decoded-content-length这两个值?

    • 我们来想想签名的作用:
      • a.验证请求身份
        ACCESSKEY、SecretKey就是用来验证身份的,这两个参数也是计算Authorization的value中Signature的值所必须的。
      • b.防止篡改
        SignedHeaders就是用来设置防止篡改的请求头的,content-md5是防止篡改请求内容(body),x-amz-decoded-content-length防止篡改请求内容长度的。
        官方文档中,SignedHeaders必须的host;x-amz-content-sha256;x-amz-date这几个也就可以理解了,防止篡改请求地址,请求内容的sha256值,请求时间戳
      • c.防止请求签名被盗用
        根据AWS S3 存储协议,时间戳(x-amz-date或Date请求头)15分钟内有效,没有权限的用户t通过截获已签名的request,可以篡改SignedHeaders中没有包含的部分,所以官方建议,签名所有请求头和请求体(也就是说SignedHeaders要尽量包含所有),还有最好用Https.

        总结:

        啰嗦一大堆,必要的请求头有哪些:Authorization、SignedHeaders中包含的(必须包含的有host;x-amz-content-sha256;x-amz-date),host,x-amz-content-sha256,x-amz-date这些请求头是服务端校验签名必须的。

    • (2)签名算法是如何计算的?(即Authorization中的Signature)

      有两种签名算法:
      • 第一种,单块传输(本人demo中使用的这种方式)
        文件内存读取两次(一次计算文件sha256时,一次文件上传时)
        单块上传请求头:
        x-amz-content-sha256: 32e820d03db121caf97206f8cbcc6202cf25bf59246e8d6b0e8f6e3502d68f66
        或:x-amz-content-sha256: UNSIGNED-PAYLOAD(这种是单块不进行签名内容的写法)
        a.

        单块上传签名计算流程

功能函数说明:
Lowercase():字符串转成小写.
Hex():base 16编码(全部小写).
SHA256Hash():计算请求体body(上传文件时,body中只有文件,即计算文件的SHA256)的SHA256,然后base64.
HMAC-SHA256():通过将key使用SHA256计算 HMAC

 
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  

Trim():去空格.
UriEncode():
a.保持'A'-'Z','a'-'z', '0'-'9', '-', '.', '_', '~'不变
b.空格字符必须转成"%20" (而不是 "+")
c.byte编译成“%”后面跟两位的十六进制(字母大写)
d.如果文件名(object name)类似“photos/Jan/sample.jpg”,其中包含“/”,不进行转义。

 
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.  
  12.  
  13.  
  14.  
  15.  
  16.  
  17.  
      • 第二种,多块传输
        多块上传请求头:
        x-amz-content-sha256: STREAMING-AWS4-HMAC-SHA256-PAYLOAD
        把有效荷载(请求body)分成几块,固定或可变大小的块。通过上传块,避免读取整个文件的有效荷载来计算签名.
        • a.第一块,计算所有的请求头的签名,空body请求
        • b.第二块,将第一个块的签名和有效载荷一起计算签名
        • c.第n块,将第n-1块的签名和有效载荷一起计算签名
        • d.最后,发送0 bytes的块包含第n块的签名。
          请求头Authorization中的Signature计算同单块上传:

          多块上传签名计算流程图

请求体中块签名计算:

请求体中比单块上传多了这些

chunk-signature的签名计算流程图

mimosa890927
关注
专栏目录
AWS s3 V4签名算法
e491288767的博客
05-31 1万+
若想直接看签名算法,请直接看最后 3 小节
Java实现AWS S3 V4 Authorization自定义验证
06-04 312
最近在开发文件存储服务,需要符合s3的协议标准,可以直接接入aws-sdk,本文针对sdk发出请求的鉴权信息进行重新组合再签名验证有效性,sdk版本如下。代表请求的路由部分,例如完成请求为http://localhost:8001/s3/aaaa/ccc.txt,则该部分为/s3/aaaa/ccc.txt。RequestDateTime – 在凭证范围内使用的日期和时间,这个时间为请求发出的时间,直接从请求头获取x-amz-date即可,这部分内容为。
AWS S3 V4签名实现(nodejs)
热门推荐
Andy Tools
03-14 1万+
虽然亚马逊提供了sdk,使用SDK会自动帮你计算签名。如果你能使用SDK 请一定使用SDK。 但是目标平台为嵌入式平台(非Linux)只支持C接口,很多库移植成本过高,为了使用S3服务,我们应该首选restfulAPI 这种方案。这就涉及到了自己实现AWS V4签名的问题。前排资料: 我们可以阅读AWS SDK(nodejs) 源码签名实现进行参考验证: aws-nodejs-sample\n
AWS 签名方法
蔡姐的博客
08-13 7112
文章链接:https://www.mtyun.com/doc/api/mss/mss/aws-v4–qian-ming 本文旨在理解什么是签名,大体流程,作为最基础了解,深入部分不做任何介绍。 签名:可以简单理解为通过一种加密方法对要传输的数据进行处理。 签名方式 签名方式大致分为两种: 1.HTTP头部签名 - 使用HTTP签名头部是认证MSS请求的最常用方法。 2**.HTTP...
okhttp-aws-signer:适用于OkHttp请求的AWS V4签名算法
05-11
Okhttp AWS Signer 这是一个kotlin库,它实现了针对请求的所述的AWS V4签名算法。 它不依赖于Amazon SDK。 获取图书馆 当前最简单的获取库的方法是使用 dependencies { implementation ' com.github.babbel:okhttp-aws-signer:<tag> ' } 您还可以通过执行gradle任务shadowJar创建胖JAR。 该任务来自插件。 用法 您需要首先设置签署者对象: val signer = OkHttpAwsV4Signer (region, serviceName) region是您正在运行服务的区域,即eu-west-1 。 serviceName应该是您调用的服务的名称,即execute-api 。 收到请求后,您可以轻松地通过以下方式对其进行签名: val newRe
aws s3 v4 Authorization Header java签名算法以及注意的地方
qq_35351480的博客
01-04 6177
整个签名流程图 任务1 创建规范请求: * 以下##:后面为注释内容 1.1 &lt;HTTPMethod&gt;\n   ##:如:GET PUT DELETE  1.2 &lt;CanonicalURI&gt;\n  ##:URI 如:/admin/user 1.3 &lt;CanonicalQueryString&gt;\n ##:特别注意当查询参数为空的时候1.2与1....
shell脚本实现云存储 s3 v4签名,并上传文件到云存储
03-02
4、s3 v4签名通过http接口进行通信,使用了对http的请求行、请求头、请求体、时间戳,使用了多次、复杂的摘要算法。比s3 v2签名更安全,v2签名校验的参数很少。 5、有些云存储厂家不会同时支持s3 v2 和 v4签名,据说...
aws签名 url_如何使用AWS上的预签名URL授予对私人文件的访问权限
weixin_26636643的博客
09-25 2072
aws签名 urlWhen trying to design a solution architecture where the application can generate and store private files on a storage option like S3, and allow the possibility for these files to be accesse...
Amazon Api 签名算法(golang版和java版)
云上的日子
04-08 6795
package main import "fmt" import "crypto/hmac" import "crypto/sha256" import "time" import "strings" import "encoding/base64" import "net/http" import "net/url" import "io/ioutil" const METHOD ="GET
aws-signer-v4-dot-net:使用AWS签名v4使用请求信息和凭证对HttpRequestMessage签名
02-05
aws-signer-v4-dot-net 使用AWS Signature v4使用请求信息和凭证对HttpRequestMessage进行签名。 用法示例: var signer = new AWS4RequestSigner ( " accessKey " , " secretKey " ); var content = new StringContent ( " {...} " , Encoding . UTF8 , " application/json " ); var request = new HttpRequestMessage { M
aws-v4:使用AWS Signature版本4为API网关(execute-api)生成AWS签名v4
05-19
AWS-V4 一个小的实用程序,可使用普通nodejs生成 。 用例尤其适用于AWS API GATEWAY(excute-api)服务。 安装 npm install aws-v4 例子 下面的示例使用post请求,您还可以使用其他请求,例如: get , put , delete const axios = require ( 'axios' ) ; const awsV4 = require ( 'aws-v4' ) ; // Sign your request // This example is post request, you can const signedRequest = awsV4 . newClient ( { accessKey : < AWS> , secretKey: < AWS_SECRET_KEY
simples3:使用具有V4签名的REST轻松实现简洁的AWS S3 Golang库(无需AWS Go SDK)
05-23
simples3:使用带有V4签名的REST轻松做到简单的AWS S3库 概述 SimpleS3是一个golang库,用于使用REST API调用或使用AWS Signature版本4签名的Presigned URL在S3存储桶上上载和删除对象。 安装 go get github.com/rhnvrm/simples3 例子 testTxt , _ := os . Open ( "testdata/test.txt" ) defer testTxt . Close () // Create an instance of the package // You can either create by manually supplying credentials // (preferably using Environment vars) s3 := simples3 . New ( Re
aws-signature-version-4:.NET中SigV4的详细介绍和深入了解
02-10
AwsSignatureVersion4 NET中的签名版本4(SigV4)的实现过程有些繁琐,但却很乏味,但进行了深入分析。 软件包 平台-.NET Framework 4.5,.NET Standard 2.0 目录 介绍 这个项目对我来说是独一无二的。 这是我的第一次,不是爱的工作。 不得不在AWS中签署请求后,我经历了一系列的事情。 我第一次感到失望,是针对亚马逊,因为他们没有在的包括Signature Version 4签名者。 该功能在列出,但我尚未看到针对实现的任何操作。 我的第二种情绪被压倒了。 签名算法涉及的比我想象的要多得多,而且我知道我必须花费大量时间来使算法与标准保持一致。 因此,在这里,我尝试在.NET中实现Signature Version 4算法。 请希望AWS开发工具包能够尽快发布此功能,以便我们可以弃用这段代码... 超级简单易用 最好的API是您
s3-upload-example:如何使用V4签名上传到S3
05-09
S3上传范例 此回购协议包括: app.rb -Sinatra应用程序,为客户端提供签名和凭据 upload.sh —使用Bash和curl编写的上传器 upload_with_temporary_credentials.sh使用Bash和curl编写的另一个上载器,该上载器使用后端通过STS临时生成的凭据 如何开始 首先,使用提供的示例设置.env文件。 然后,假设您拥有Ruby,请运行以下命令。 bundle install ruby app.rb 这将在localhost:4567上启动后端。 如果该端口不适合您,请在上传器中对其进行调整。 bash upload.sh filename会将filename bash upload.sh filename上传到S3存储桶中的uploads目录。 bash upload_with_temporary_credentials.sh
aws4-signature:AWS 版本 4 签名生成器
06-28
aws4-签名 AWS 版本 4 签名生成器 例子 var aws4_sign = require ( "aws4-signature" ) ; var signature = aws4_sign ( "wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY" , "2011-09-09T12:00:00.000Z" , "us-east-1" , "iam" , "AWS4-HMAC-SHA256\n20110909T233600Z\n20110909/us-east-1/iam/aws4_request\n3511de7e95d28ecd39e9513b642aee07e54f4941150d8df8bf94b328ef7e55e2" ) ; // Outputs "ced6826de92d2bdeed8f846f0bf508e8559e
【云存储】shell脚本实现云存储 s3 v4签名,并上传文件到云存储
最新发布
weixin_44764006的博客
03-02 517
linux上用shell脚本实现亚马逊云存储协议的s3 v4签名,能实现文件上传到云储存。
AWS 签名版本
lanfeicdsn的博客
03-14 1506
# aws s3 sync s3://test-repo  s3://test1-repo-frankfurt Traceback (most recent call last):   File "/usr/bin/aws", line 15, in     import awscli.clidriver   File "/usr/share/awscli/awscli/clidrive
Linux系统基础命令
千度阿三的博客
05-06 874
文章目录`date`命令`wget`命令`ps`命令`top`命令`pidof`命令`kill`命令`killall`命令`reboot`命令`poweroff`命令 date命令 date命令用于显示及设置系统的时间或日期,格式为“date [选项] [+指定的格式]”。 参数 作用 %H 小时(00~23) %I 小时(00~12) %M 分钟(00~59) %S ...
AWS S3-cli安装与配置全面指南
AWS S3-cli用户指南是一份详尽的文档,旨在帮助用户了解并操作Amazon Web Services (AWS) 的Command Line Interface (CLI)。这份指南主要涵盖了以下几个关键知识点: 1. **AWS CLI简介**:AWS CLI是AWS提供的一款...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值