PHP génère la signature de requête requise par l'interface Tencent Cloud COS

Cet article présente principalement la signature de requête requise pour créer une interface COS en PHP. Elle est comparée aux exemples donnés dans les documents officiels pour vérifier l'exactitude de l'algorithme. Les amis dans le besoin peuvent s'y référer

Que sont les signatures COS et de demande

COS est l'abréviation de Tencent Cloud Object Storage. Les signatures de demande sont créées par des algorithmes spécifiques que les tiers doivent fournir à la demande lors de l'appel d'interfaces liées au COS. . Un ensemble d'informations de chaîne qui identifieront de manière unique l'identité actuelle du tiers et fourniront l'identification des deux parties communicantes. Seul un COS signé valide fournira des services

Cible

. Utilisez PHP pour créer la signature de demande requise pour l'interface COS, comparez-la avec l'exemple donné dans le document officiel et vérifiez l'exactitude de l'algorithme

Comprendre la signature de demande

Venez d'abord Regardez la signature de demande donnée dans un document officiel

q-sign-algorithm=sha1&q-ak=[SecretID]&q-sign-time=[SignTime]&q-key-time=[KeyTime]&q-header-list=[SignedHeaderList]&q-url-param-list=[SignedParameterList]&q-signature=[Signature]

Résumé des caractéristiques de la signature de demande

• est une chaîne de caractères

• 🎜>

clé=valeur format de paire clé-valeur, la clé est une valeur fixe
Il y a 7 paires de clé=valeur
sha1 est également un paramètre, mais depuis l'annonce officielle, il ne prend en charge que sha1, il peut donc être directement attribué
SignedHeaderList, SignedParameterList et Signature. Les trois valeurs doivent être générées via des algorithmes

Pour des descriptions détaillées des paires clé-valeur, consultez la documentation officielle.

Décomposez une par une

La demande de signature nécessite un total de 7 valeurs. Expliquons une par une ci-dessous

algorithme q-sign.

algorithme de signature, officiel Actuellement, seul sha1 est pris en charge, il suffit donc de donner directement la valeur

q-ak

L'ID de compte, qui est le SecretId de l'utilisateur, peut être obtenu sur la page Clé de l'API Cloud de la console

q-sign-time

L'heure de début et de fin valide de la signature actuelle, format d'horodatage Unix, point-virgule anglais divisé en demi-largeur, format tel que ; 1480932292;1481012298

q-key-time

Même valeur que q-sign-time

q-header-list

Compréhension personnelle, elle consiste des en-têtes de requête HTTP, prendre tout ou partie des en-têtes de requête et demander sous la forme clé:valeur La partie clé de l'élément est extraite, convertie en minuscules, plusieurs clés sont triées selon le dictionnaire et connectées avec les caractères ; pour finalement former une chaîne

Host:bucket1-1254000000.cos.ap-beijing.myqcloud.com
Content-Type:image/jpeg

Par exemple, l'en-tête de la requête d'origine en contient deux :

la clé est Host et Content-Type, après l'opération, le type de contenu est affiché. ; hôte

q-url-param-list

Compréhension personnelle, il se compose de paramètres de requête HTTP, prend tout ou partie des paramètres de requête, retire la partie clé du paramètre de requête dans la forme clé=valeur, convertissez-la en minuscules, triez les multiples clés selon le dictionnaire et connectez-les avec les caractères pour finalement former une chaîne

GET /?prefix=abc&max-keys=20

Par exemple, la requête HTTP originale est : <. 🎜>

key est préfixe et max-keys. Après l'opération, max-keys est généré si la requête n'a pas de paramètres tels que put et post, elle sera vide

<🎜. >q-signature

Calculez la signature en fonction du contenu HTTP. L'algorithme est fourni par COS. Donnez simplement la valeur requise

Exemples officiels et résultats de référence

Avant vous commencez à écrire de la logique, jetez un œil aux valeurs de référence données par les exemples officiels et aux résultats calculés pour comparaison avec la logique développée par vous-même

La requête HTTP originale peut également être comprise comme le HTTP. requête avant le calcul de la signature ou lorsqu'aucune signature n'est requise :

PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Hello world

La requête HTTP qui doit être obtenue après le calcul de la signature :

PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Authorization: q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&> q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q-header-list=host;x-cos-content-sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10
Hello world

Conclusion : L'algorithme est correct si il peut obtenir la chaîne après autorisation

Travail de préparation

Jetons un coup d'œil aux informations utilisateur (officiellement fournies) et aux informations HTTP :

• SecretId : AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q

• SecretKey : BQYIM75p8x0iWVFSIgq EKwFprpRSVHlz

• Signature heure de début valide : 141777389 2

• Signature valide heure d'arrêt : 1417853898

• En-tête de requête HTTP d'origine : D'après l'exemple de la section précédente, il n'est pas difficile d'obtenir que la requête HTTP d'origine ait trois contenus : Host, x-cos -content-sha1 et x-cos-storage-class

• Paramètres de la requête HTTP : c'est une requête PUT, non ? Paramètres

Calculer signature

Mettez les différents paramètres du travail de préparation dans la règle de signature de la demande, et il n'est pas difficile d'obtenir les résultats, comme le montre le tableau suivant :

键（key）	值(value)	备注
q-sign-algorithm	sha1	目前仅支持 sha1 签名算法
q-ak	AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q	SecretId 字段
q-sign-time	1417773892;1417853898	2014/12/5 18:04:52 到 2014/12/6 16:18:18
q-key-time	1417773892;1417853898	2014/12/5 18:04:52 到 2014/12/6 16:18:18
q-header-list	host;x-cos-content-sha1;x-cos-storage-class	HTTP 头部 key 的字典顺序排序列表
q-url-param-list		HTTP 参数列表为空
q-signature	14e6ebd7955b0c6da532151bf97045e2c5a64e10	通过代码计算所得

但 q-signature 怎么来的？

刚才说到，q-signature 也需要特定算法计算得来，下面就说明如何计算

计算请求签名

先看代码：

/**
 * 计算签名
 * secretId、secretKey 为必需参数，qSignStart、qSignEnd为调试需要，测试通过后应取消，改为方法内自动创建
 */
function get_authorization( $secretId, $secretKey, $qSignStart, $qSignEnd, $fileUri, $headers ){
 /* 
 * 计算COS签名
 * 2018-05-17
 * author:cinlap <cash216@163>
 * ref:https://cloud.tencent.com/document/product/436/7778
 */

 $qSignTime = "$qSignStart;$qSignEnd"; //unix_timestamp;unix_timestamp
 $qKeyTime = $qSignTime;

 $header_list = get_q_header_list($headers);
 //如果 Uri 中带有 ?的请求参数，该处应为数组排序后的字符串组合
 $url_param_list = &#39;&#39;;

 //compute signature
 $httpMethod = &#39;put&#39;;
 $httpUri = $fileUri;

 //与 q-url-param-list 相同
 $httpParameters = $url_param_list;

 //将自定义请求头分解为 & 连接的字符串
 $headerString = get_http_header_string( $headers );

 // 计算签名中的 signature 部分
 $signTime = $qSignTime;
 $signKey = hash_hmac(&#39;sha1&#39;, $signTime, $secretKey);
 $httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
 $sha1edHttpString = sha1($httpString);
 $stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
 $signature = hash_hmac(&#39;sha1&#39;, $stringToSign, $signKey);
 //组合结果
 $authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime&q-header-list=$header_list&q-url-param-list=$url_param_list&q-signature=$signature";
 return $authorization;
}

为了测试，该方法参数应该是多过需要了，前六个参数是已经给出的，是来自用户的，因此直接赋值即可得到下边字符串：

$authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime...

$header_list 这个值要符合 q-header-list 规则因此需要计算，逻辑是上文已经描述，是从既定的请求项中抽出 key 组成有序字符串，代码如下：

/**
 * 按COS要求对header_list内容进行转换
 * 提取所有key
 * 字典排序
 * key转换为小写
 * 多对key=value之间用连接符连接
 * 
 */
function get_q_header_list($headers){
 if(!is_array($headers)){
  return false;
 }

 try{
  $tmpArray = array();
  foreach( $headers as $key=>$value){
   array_push($tmpArray, strtolower($key));
  }
  sort($tmpArray);
  return implode(';', $tmpArray);
 }
 catch(Exception $error){
  return false;
 }
}

$url-param-list 上面讲过，这个值是HTTP请求参数，对于 PUT 方法没有 ? 参数，自然值为空，所以代码中“偷懒”直接给了空字符串。

Signature 的计算和需要小心的地方

官方已经给出了完整的算法，PHP 甚至还有写好的代码，应该是很幸福了（但！由于看官方文档看的头晕还是踩了坑，随后一起说明），先看一下 signature 的“格式”：

SignKey = HMAC-SHA1(SecretKey,"[q-key-time]")
HttpString = [HttpMethod]\n[HttpURI]\n[HttpParameters]\n[HttpHeaders]\n
StringToSign = [q-sign-algorithm]\n[q-sign-time]\nSHA1-HASH(HttpString)\n
Signature = HMAC-SHA1(SignKey,StringToSign)

再看一下 Signature 的完整算法：

$signTime = $qSignTime;
$signKey = hash_hmac('sha1', $signTime, $secretKey);
$httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
$sha1edHttpString = sha1($httpString);
$stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
$signature = hash_hmac('sha1', $stringToSign, $signKey);

$signTime：很简单，起止时间组成的字符串，从上文拿来直接用
$signKey：HMAC-SHA1 算法直接计算即可
$httpString：四个部分组成需要分开说
1、$httpMethod：HTTP请求方法，小写，比如 put、get
2、$httpUri：HTTP请求的URI部分，从“/”虚拟根开始，如 /testfile 说明在存储桶根目录下创建一个叫 testfile 的文件，/image/face1.jpg 说明在根目录/image目录下建立一个叫 face1.jpg 的文件，至于是不是图片文件，不管
3、$httpParameters：这是第一个需要小心的地方。由HTTP原始请求参数组成，即请求 URI 中 ? 后面的部分，本例调用的是 PUT Object 接口，因此为空。如果不为空，需要把请求参数每一项的 key 和 value 均转换小写，多对 key=value 按字典排序并以 & 相连接
4、$headerString：这是第二个需要小心的地方，由 HTTP 原始请求头组成，根据请求头，选择全部或部分请求头，把每项的key都转换为小写，把value都进行URLEncode转换，每项格式都改为key=value，然后按照key进行字典排序，最后把它们用连接符 & 组成字符串。这是我整理的逻辑，代码如下：

/**
 * 按COS要求从数组中获取 Signature 中 [HttpString] 内容
 * 标准格式 key=value&key=value&... 
 * 数组元素按键字典排序 * 
 * key转换为小写
 * value进行UrlEncode转换
 * 转换为key=value格式
 * 多对key=value之间用连接符连接
 * 
 */
function get_http_header_string($headers){
 if(!is_array($headers)){
  return false;
 }

 try{
  $tmpArray = array();
  foreach($headers as $key => $value){
   $tmpKey = strtolower($key);
   $tmpArray[$tmpKey] = urlencode($value);
  }
  ksort($tmpArray);
  $headerArray = array();
  foreach( $tmpArray as $key => $value){
   array_push($headerArray, "$key=$value");
  }
  return implode('&', $headerArray);
 }
 catch(Exception $error){
  return false;
 }
}

为什么要小心？

HTTP原始请求头和请求参数用在了四个地方，分别是请求签名里的 q-header-list 和 Signature 里的 HttpHeaders——两者都用到了HTTP原始请求头；请求签名里的 q-url-param-list 和 Signature 里的 HttpParameters——两者都用到了HTTP请求参数。一定要保证HTTP请求头和请求参数所选用的数量和对象一致

• 相同：生成 q-header-list 的HTTP请求头数量和成员要和生成 HttpHeaders 的相同，生成 q-url-param-list 的HTTP请求参数数量和成员要和生成 HttpParameters 的相同

• 不同：q-header-list 和 q-url-param-list 只取 key 部分，HttpHeaders 和 HttpParameters 取 key 和 value 部分

输出结果和校验

至此，请求签名中7个值都有了，有的是来自用户信息，有的需要计算，需要计算的上面也给出了所有的计算方法和为什么如此计算的个人理解。最后只需要按照官方要求进行输出即可。看一下

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!