注意:
此文档仅适用于 COS XML 版本,版本可登陆后在 COS 控制台首页查看。
此文档不适用于 POST object 的 HTTP 请求。
使用对象存储服务 COS 时,可通过 RESTful API 对 COS 发起 HTTP 匿名请求或 HTTP 签名请求,对于签名请求,COS 服务器端将会进行对请求发起者的身份验证。
匿名请求:HTTP 请求不携带任何身份标识和鉴权信息,通过 RESTful API 进行 HTTP 请求操作。
签名请求:HTTP 请求时添加签名,COS服务器端收到消息后,进行身份验证,验证成功则可接受并执行请求,否则将会返回错误信息并丢弃此请求。
腾讯云COS对象存储,基于密钥 HMAC (Hash Message Authentication Code) 的自定义 HTTP 方案进行身份验证。
签名使用场景
在
COS 对象存储服务使用的场景中,对于需要对外发布类的数据,通常可将对象设置为公有读,私有写。即所有人可查看,通过 ACL 策略指定账号或
IP 可写入。此时,可将 ACL 策略与 API 请求签名相结合,对访问进行身份验证,并对操作进行权限和有效期的控制。
注意:
本文所描述的 API 请求签名,如果您使用 SDK 进行开发,则已包含在内。仅在您希望通过原始 API 进行二次开发时,需要根据本文所描述步骤进行操作。
在以上场景中,可对 API 请求进行多方面的安全防护:
请求者身份验证。通过访问者唯一 ID 和密钥确定请求者身份。
防止传输数据篡改。对数据加密并检验,保障传输内容完整性。
防止签名被盗用。对签名设置时效,且进行数据加密,避免签名盗用并重复使用。
签名流程
客户通过对 HTTP 请求进行签名,并将签名后的请求发送至腾讯云进行签名验证,具体流程如下图所示。
准备工作APPID、SecretId 和 SecretKey。
在控制台 云API密钥 页面可获取。
确定开发语言:
支持但不限于 java、php 、c sharp、c++、 node.js、python,根据不同的开发语言,确定对应的 HMAC-SHA1、SHA1 函数。
键值描述
其中,组成签名内容的键值(key=value)描述如下:
键(key)
值(value)
描述
q-sign-algorithm
sha1
必填。
签名算法,目前仅支持 sha1,即为 sha1 。
q-ak
参数[SecretID]
必填。
帐户 ID,即 SecretId,在控制台 云 API 密钥 页面可获取。
如: AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q 。
q-sign-time
参数[SignTime]
必填。
本签名的有效起止时间,通过 Unix 时间戳