In diesem Artikel wird hauptsächlich die Anforderungssignatur vorgestellt, die zum Erstellen einer COS-Schnittstelle mit PHP erforderlich ist. Sie wird mit den in den offiziellen Dokumenten angegebenen Beispielen verglichen, um die Richtigkeit des Algorithmus zu überprüfen
Was sind COS und Anforderungssignaturen?
COS ist die Abkürzung für Tencent Cloud Object Storage. Anforderungssignaturen werden durch spezifische Algorithmen erstellt, die Dritte beim Aufruf von COS-bezogenen Schnittstellen auf Anfrage bereitstellen müssen . Eine Reihe von Zeichenfolgeninformationen, die die aktuelle Identität des Dritten eindeutig identifizieren und die Identifizierung beider kommunizierender Parteien ermöglichen. Nur gültige signierte COS stellen Dienste bereit
Ziel
Erstellen Sie mit PHP die für die COS-Schnittstelle erforderliche Anforderungssignatur, vergleichen Sie sie mit dem im offiziellen Dokument angegebenen Beispiel und überprüfen Sie die Richtigkeit des Algorithmus
Verstehen Sie die Anforderungssignatur
Als Erstes schauen Sie sich die in einem offiziellen Dokument angegebene Anforderungssignatur an
q-sign-algorithm=sha1&q-ak=[SecretID]&q-sign-time=[SignTime]&q-key- time=[KeyTime ]&q-header-list=[SignedHeaderList]&q-url-param-list=[SignedParameterList]&q-signature=[Signature]
Zusammenfassung der Anforderungssignaturfunktionen
ist ein Schlüssel-Wert-Paarformat einer Zeichenfolge
Schlüssel=Wert. Der Schlüssel ist ein fester Wert
. Insgesamt gibt es 7 Schlüsselpaare Werte:
SignedHeaderList, SignedParameterList und Signature-Wert müssen durch einen Algorithmus generiert werden
Für eine detaillierte Beschreibung von Schlüssel-Wert-Paaren: Bitte beachten Sie die offizielle Dokumentation.
Für die Anforderung einer Signatur sind insgesamt 7 Werte erforderlich. Nachfolgend wird jeder Wert einzeln aufgeschlüsselt.
Signaturalgorithmus, offiziell Derzeit wird nur sha1 unterstützt, also geben Sie den Wert einfach direkt an
Die Konto-ID, die die SecretId des Benutzers ist, kann abgerufen werden auf der Cloud-API-Schlüsselseite der Konsole
Die gültige Start- und Endzeit der aktuellen Signatur, Unix-Zeitstempelformat, englische Semikolon halber Breite, Format wie 1480932292;1481012298
Gleicher Wert wie q-sign-time
Persönliches Verständnis, es besteht Nehmen Sie von HTTP-Anforderungsheadern alle oder einen Teil der Anforderungsheader und fordern Sie sie in der Form key:value an. Der Schlüsselteil des Elements wird herausgenommen, in Kleinbuchstaben umgewandelt, mehrere Schlüssel werden gemäß dem Wörterbuch sortiert und mit verbunden die Zeichen ; um schließlich eine Zeichenfolge zu bilden
Content-Type:image/jpeg
Schlüssel ist Host und Content-Type. Nach dem Vorgang ist content-type;host
q-url-param-list
Persönliches Verständnis: Es besteht aus HTTP-Anforderungsparametern. Nehmen Sie alle oder einen Teil der Anforderungsparameter, nehmen Sie den Schlüsselteil des Anforderungsparameters in Form von Schlüssel = Wert heraus und konvertieren Sie ihn in Kleinbuchstaben Wörterbuch und verbunden mit Zeichen ; um schließlich eine Zeichenfolge zu bilden
key ist prefix und max-keys; wenn die Anfrage keine Parameter wie put und post hat, ist sie leer q-. Signatur
Berechnen Sie die Signatur basierend auf dem HTTP-Inhalt. Der Algorithmus wird von COS bereitgestellt. Geben Sie einfach den Wert nach Bedarf ein.
Bevor Sie mit dem Schreiben beginnen Logik, werfen Sie einen Blick auf die offiziellen Beispiele Referenzwert, sowie berechnete Ergebnisse, um die Ergebnisse mit der von Ihnen selbst entwickelten Logik zu vergleichen
Host: Bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content -sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5ex- cos-storage -class: standardDie HTTP-Anfrage, die Sie nach der Berechnung der Signatur erhalten sollten:
Hallo WeltPUT /testfile2 HTTP/1.1
Host: Bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-s Lagerung -class: Standard
Autorisierung: q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&> q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q- header- list=host;x-cos-content -sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10Hallo Welt
Fazit: Wenn der Algorithmus das nach der Autorisierung erhalten kann Die Zeichenfolge string ist korrekt
Vorbereitungsarbeit
Werfen wir einen Blick auf die (offiziell bereitgestellten) Benutzerinformationen und HTTP-Informationen:
SecretId: AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
SecretKey: BQYIM75p8x0iWVFSIgqEKwFprpRSVHlz
Signatur gültige Startzeit: 1417773892
Signatur gültige Stoppzeit: 1417853898
HTTP-Originalanforderungsheader: Gemäß dem Beispiel im vorherigen Abschnitt ist es nicht schwer zu erkennen, dass die HTTP-Originalanforderung drei Inhalte hat: Host, x-cos-content- sha1 und x-cos-storage-class
HTTP-Anfrageparameter: Handelt es sich um eine PUT-Anfrage, nein? Parameter
Signatur berechnen
bereitet verschiedene Parameter vor. Durch Einbringen der Anforderungssignaturregeln ist es nicht schwierig, die Ergebnisse zu erhalten, wie in der folgenden Tabelle gezeigt:
Schlüssel (Schlüssel) Wert (Wert) Bemerkungen q-sign-algorithm sha1 Unterstützt derzeit nur den sha1-Signaturalgorithmus q-ak AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q SecretId-Feld q-sign-time 1417773892;1417853898 5.12.2014 18:04:52 bis 6.12.2014 16:18:18 q-key-time 1417773892;1417853898 5.12.2014 18:04 :52 bis 6.12.2014 16:18:18 q-header-list host;x-cos-content-sha1;x -cos-storage-class lexikografisch sortierte Liste von HTTP-Header-Schlüsseln q -url-param-list
键(key) 值(value) 备注 q-sign-algorithm sha1 目前仅支持 sha1 签名算法 q-ak AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q SecretId 字段 q-sign-time 1417773892;1417853898 2014/12/5 18:04:52 到 2014/12/6 16:18:18 q-key-time 1417773892;1417853898 2014/12/5 18:04:52 到 2014/12/6 16:18:18 q-header-list host;x-cos-content-sha1;x-cos-storage-class HTTP 头部 key 的字典顺序排序列表 q-url-param-list HTTP 参数列表为空 q-signature 14e6ebd7955b0c6da532151bf97045e2c5a64e10 通过代码计算所得 HTTP-Parameterliste ist leer q-signature 14e6ebd7955b0c6da532151bf97045e2c5a64e10Berechnet nach Code Einkommen 但 q-signature 怎么来的?
刚才说到,q-signature 也需要特定算法计算得来,下面就说明如何计算
计算请求签名
先看代码:
/** * 计算签名 * secretId、secretKey 为必需参数,qSignStart、qSignEnd为调试需要,测试通过后应取消,改为方法内自动创建 */ function get_authorization( $secretId, $secretKey, $qSignStart, $qSignEnd, $fileUri, $headers ){ /* * 计算COS签名 * 2018-05-17 * author:cinlap <cash216@163> * ref:https://cloud.tencent.com/document/product/436/7778 */ $qSignTime = "$qSignStart;$qSignEnd"; //unix_timestamp;unix_timestamp $qKeyTime = $qSignTime; $header_list = get_q_header_list($headers); //如果 Uri 中带有 ?的请求参数,该处应为数组排序后的字符串组合 $url_param_list = ''; //compute signature $httpMethod = 'put'; $httpUri = $fileUri; //与 q-url-param-list 相同 $httpParameters = $url_param_list; //将自定义请求头分解为 & 连接的字符串 $headerString = get_http_header_string( $headers ); // 计算签名中的 signature 部分 $signTime = $qSignTime; $signKey = hash_hmac('sha1', $signTime, $secretKey); $httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n"; $sha1edHttpString = sha1($httpString); $stringToSign = "sha1\n$signTime\n$sha1edHttpString\n"; $signature = hash_hmac('sha1', $stringToSign, $signKey); //组合结果 $authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime&q-header-list=$header_list&q-url-param-list=$url_param_list&q-signature=$signature"; return $authorization; }Nach dem Login kopieren为了测试,该方法参数应该是多过需要了,前六个参数是已经给出的,是来自用户的,因此直接赋值即可得到下边字符串:
$authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime...
$header_list 这个值要符合
q-header-list
规则因此需要计算,逻辑是上文已经描述,是从既定的请求项中抽出 key 组成有序字符串,代码如下:/** * 按COS要求对header_list内容进行转换 * 提取所有key * 字典排序 * key转换为小写 * 多对key=value之间用连接符连接 * */ function get_q_header_list($headers){ if(!is_array($headers)){ return false; } try{ $tmpArray = array(); foreach( $headers as $key=>$value){ array_push($tmpArray, strtolower($key)); } sort($tmpArray); return implode(';', $tmpArray); } catch(Exception $error){ return false; } }Nach dem Login kopieren$url-param-list 上面讲过,这个值是HTTP请求参数,对于 PUT 方法没有 ? 参数,自然值为空,所以代码中“偷懒”直接给了空字符串。
Signature 的计算和需要小心的地方
官方已经给出了完整的算法,PHP 甚至还有写好的代码,应该是很幸福了(但!由于看官方文档看的头晕还是踩了坑,随后一起说明),先看一下 signature 的“格式”:
SignKey = HMAC-SHA1(SecretKey,"[q-key-time]")
HttpString = [HttpMethod]\n[HttpURI]\n[HttpParameters]\n[HttpHeaders]\n
StringToSign = [q-sign-algorithm]\n[q-sign-time]\nSHA1-HASH(HttpString)\n
Signature = HMAC-SHA1(SignKey,StringToSign)再看一下 Signature 的完整算法:
$signTime = $qSignTime;
$signKey = hash_hmac('sha1', $signTime, $secretKey);
$httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
$sha1edHttpString = sha1($httpString);
$stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
$signature = hash_hmac('sha1', $stringToSign, $signKey);$signTime:很简单,起止时间组成的字符串,从上文拿来直接用
$signKey:HMAC-SHA1 算法直接计算即可
$httpString:四个部分组成需要分开说
1、$httpMethod:HTTP请求方法,小写,比如 put、get
2、$httpUri:HTTP请求的URI部分,从“/”虚拟根开始,如 /testfile 说明在存储桶根目录下创建一个叫 testfile 的文件,/image/face1.jpg 说明在根目录/image目录下建立一个叫 face1.jpg 的文件,至于是不是图片文件,不管
3、$httpParameters:这是第一个需要小心的地方。由HTTP原始请求参数组成,即请求 URI 中 ? 后面的部分,本例调用的是 PUT Object 接口,因此为空。如果不为空,需要把请求参数每一项的 key 和 value 均转换小写,多对 key=value 按字典排序并以 & 相连接
4、$headerString:这是第二个需要小心的地方,由 HTTP 原始请求头组成,根据请求头,选择全部或部分请求头,把每项的key都转换为小写,把value都进行URLEncode转换,每项格式都改为key=value,然后按照key进行字典排序,最后把它们用连接符 & 组成字符串。这是我整理的逻辑,代码如下:/** * 按COS要求从数组中获取 Signature 中 [HttpString] 内容 * 标准格式 key=value&key=value&... * 数组元素按键字典排序 * * key转换为小写 * value进行UrlEncode转换 * 转换为key=value格式 * 多对key=value之间用连接符连接 * */ function get_http_header_string($headers){ if(!is_array($headers)){ return false; } try{ $tmpArray = array(); foreach($headers as $key => $value){ $tmpKey = strtolower($key); $tmpArray[$tmpKey] = urlencode($value); } ksort($tmpArray); $headerArray = array(); foreach( $tmpArray as $key => $value){ array_push($headerArray, "$key=$value"); } return implode('&', $headerArray); } catch(Exception $error){ return false; } }Nach dem Login kopieren为什么要小心?
HTTP原始请求头和请求参数用在了四个地方,分别是请求签名里的 q-header-list 和 Signature 里的 HttpHeaders——两者都用到了HTTP原始请求头;请求签名里的 q-url-param-list 和 Signature 里的 HttpParameters——两者都用到了HTTP请求参数。一定要保证HTTP请求头和请求参数所选用的数量和对象一致
相同:生成 q-header-list 的HTTP请求头数量和成员要和生成 HttpHeaders 的相同,生成 q-url-param-list 的HTTP请求参数数量和成员要和生成 HttpParameters 的相同
不同:q-header-list 和 q-url-param-list 只取 key 部分,HttpHeaders 和 HttpParameters 取 key 和 value 部分
输出结果和校验
至此,请求签名中7个值都有了,有的是来自用户信息,有的需要计算,需要计算的上面也给出了所有的计算方法和为什么如此计算的个人理解。最后只需要按照官方要求进行输出即可。看一下
Das obige ist der detaillierte Inhalt vonPHP generiert den relevanten Inhalt der Anforderungssignatur, die für die Tencent Cloud COS-Schnittstelle erforderlich ist. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!