認證鑒權

基本認證

Basic認證是客戶端通過明文（Base64編碼格式）傳輸用戶名和密碼到服務端進行認證

curl -u <operator>:<password> http://fss-<區域>.vhostgo.com/<bucket>/

或者，將用戶名和密碼按 operator:password 拼接 Base64 編碼后加在請求頭的 Authorization 字段中：


1
curl -X GET \
2
    http://fss-my.vhostgo.com/<bucket>/ \
3
    -H "Authorization: Basic XXXX"

簽名認證

為了避免基本認證中 Base64 編碼可逆帶來的安全隱患，對象存儲提供了簽名認證這種更安全的認證方式。它結合請求關鍵信息和用戶身份信息，計算一個消息摘要，作為請求的 Authorization，保證請求的安全。

Rest-API簽名認證

對于REST API,認證信息 Authorization 放在 Header 中，

簽名計算方法


xxxxxxxxxx
7
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>
7
))

相關參數說明

參數	必選	說明
Operator	`是`	用戶名
Method	`是`	請求方式，如：GET、POST、PUT、HEAD 等
URI	`是`	請求路徑，格式為`/bucket/URI`
Date	`是`	請求日期時間，如 Wed, 22 Apr 2020 02:26:58 GMT 或者 2020-04-22 10:26:58
Password	`是`	密碼的 base64 值
Content-MD5	否	請求體的 MD5 值，如果文件太大計算 MD5 不方便或請求體為空，可以為空

注

非必選參數為空時，連同后面的 & 一起不參與簽名計算。所有計算的 MD5 值，格式均是 32 位小寫。
HMAC-SHA1 輸出的必須是原生的二進制數據。
Date 用于驗證該簽名是否有效，REST API 簽名有效時間為請求時間起的 30 分鐘內

舉例

請求簽名


xxxxxxxxxx
9
1
// 操作員信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 參數信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上傳文件的 MD5
9
Content-MD5 = 7ac66c0f148de9519b8bd264312c4d64

生成 Signature：


xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<Content-MD5>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,PUT&/westtest/07451cbbc932a122a262e39c6a159e7f.jpg&2020-04-23 16:13:54&7ac66c0f148de9519b8bd264312c4d64))
8
// HMAC-SHA1 返回的原生二進制數據進行 Base64 編碼
9
= JFJ3zn/ilY263BtBzz49dvXk3Kw=

Authorization 簽名：


xxxxxxxxxx
1
1
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=

請求 Header：


xxxxxxxxxx
7
1
PUT /westtest/07451cbbc932a122a262e39c6a159e7f.jpg HTTP/1.1
2
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=
3
Content-MD5: 7ac66c0f148de9519b8bd264312c4d64
4
Date: 2020-04-23 16:24:46
5
Content-Type: image/jpeg
6
Host: fss-my.vhostgo.com
7
Content-Length: 33456

Form-API簽名認證

對于FORM API，認證信息 Authorization 放在HTTP的body中。簽名計算方法


xxxxxxxxxx
8
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>&
7
<Policy>
8
))

相關參數說明

參數	必選	說明
Operator	`是`	用戶名
Method	`是`	請求方式，取值為POST
URI	`是`	請求路徑，格式為`/bucket`
Date	`是`	請求日期時間，如 Wed, 22 Apr 2020 02:26:58 GMT 或者 2020-04-22 10:26:58
Password	`是`	密碼的 base64 值
Content-MD5	否	請求體的 MD5 值，如果文件太大計算 MD5 不方便或請求體為空，可以為空
Policy	否	上傳參數的Base64 編碼，詳見 Policy 算法

注

非必選參數為空時，連同后面的 & 一起不參與簽名計算。所有計算的 MD5 值，格式均是 32 位小寫。
HMAC-SHA1 輸出的必須是原生的二進制數據。
Date 用于驗證該簽名是否有效，REST API 簽名有效時間為請求時間起的 30 分鐘內

policy 算法

生成步驟

將需要保護的上傳參數鍵值對轉換為 JSON 字符串
將第 1 步所得到的字符串進行 Base64 Encode 處理，得到 policy

注

參數和參數值必須是 UTF-8 編碼，且不包含換行符。
參數 date 和 content-md5 就是簽名中的 Date 和 Content-MD5，無需再加到policy參數列表中。

舉例


xxxxxxxxxx
10
1
// 操作員信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 參數信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上傳參數，需要計算 Policy
9
save-key = /{year}/{mon}/{day}/west_{random32}{.suffix}
10
expiration = 1800

生成 Policy


?x
1
Policy = Base64 ({"save-key": "/{year}/{mon}/{day}/west_{random32}{.suffix}", "expiration": 1800)}
2
       = eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=
3
?

生成 Signature


xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<policy>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,POST&/westtest&2023-06-05 10:54:01&eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=))
8
// HMAC-SHA1 返回的原生二進制數據進行 Base64 編碼
9
= w2pjeLG5KNieSR4KrYe/7u7QlbA=

Authorization 簽名


xxxxxxxxxx
1
1
authorization=WESTYUN westtest:w2pjeLG5KNieSR4KrYe/7u7QlbA=

完整請求示例