全部产品

签名机制

更新时间:2021-02-19 19:02:33

签名原理

IP地理位置库服务会对每个访问的请求进行身份验证,所以无论使用HTTP还是HTTPS协议提交请求,都需要在请求中包含签名(Signature)信息。IP地理位置库通过使用Access Key IDAccess Key Secret进行对称加密的方法来验证请求的发送者身份。

Access Key ID和Access Key Secret由阿里云官方颁发给访问者(可以通过阿里云官方网站申请和管理),其中Access Key ID用于标识访问者的身份;Access Key Secret是用于加密签名字符串和服务器端验证签名字符串的密钥,必须严格保密,只有阿里云和用户知道。

用户在访问时,按照下面的方法对请求进行签名处理:

  1. 使用请求参数构造规范化的请求字符串(Canonicalized Query String) a) 按照参数名称的字典顺序对请求中所有的请求参数(包括文档中描述的“公共请求参数”和给定了的请求接口的自定义参数,但不能包括“公共请求参数”中提到Signature参数本身)进行排序。 注意:此排序严格大小写敏感排序。 注:当使用GET方法提交请求时,这些参数就是请求URI中的参数部分(即URI中“?”之后由“&”连接的部分)。 b) 对每个请求参数的名称和值进行编码。名称和值要使用UTF-8字符集进行URL编码,URL编码的编码规则是: i. 对于字符 A-Z、a-z、0-9以及字符“-”、“_”、“.”、“~”不编码; ii. 对于其他字符编码成“%XY”的格式,其中XY是字符对应ASCII码的16进制表示。比如英文的双引号(”)对应的编码就是%22 iii. 对于扩展的UTF-8字符,编码成“%XY%ZA…”的格式; iv. 需要说明的是英文空格( )要被编码是%20,而不是加号(+)。 注:一般支持URL编码的库(比如Java中的java.net.URLEncoder)都是按照“application/x-www-form-urlencoded”的MIME类型的规则进行编码的。实现时可以直接使用这类方式进行编码,把编码后的字符串中加号(+)替换成%20、星号(*)替换成%2A、%7E替换回波浪号(~),即可得到上述规则描述的编码字符串。 c) 对编码后的参数名称和值使用英文等号(=)进行连接。 d) 再把英文等号连接得到的字符串按参数名称的字典顺序依次使用&符号连接,即得到规范化请求字符串。

  2. 使用上一步构造的规范化字符串按照下面的规则构造用于计算签名的字符串:

    StringToSign= HTTPMethod + “&” + percentEncode(“/”) + ”&” + percentEncode(CanonicalizedQueryString) 其中HTTPMethod是提交请求用的HTTP方法,比如GET。 percentEncode(“/”)是按照1.b中描述的URL编码规则对字符“/”进行编码得到的值,即“%2F”。 percentEncode(CanonicalizedQueryString)是对第1步中构造的规范化请求字符串按1.b中描述的URL编码规则编码后得到的字符串。

  3. 按照RFC2104的定义,使用上面的用于签名的字符串计算签名HMAC值。注意:计算签名时使用的Key就是用户持有的Access Key Secret并加上一个“&”字符(ASCII:38),使用的哈希算法是SHA1。

  4. 按照Base64编码规则把上面的HMAC值编码成字符串,即得到签名值(Signature)。

  5. 将得到的签名值作为Signature参数添加到请求参数中,即完成对请求签名的过程。

参考代码

注意

示例代码仅生成了可访问阿里云网关地址,请求地址成功,表示验签成功,可看到返回值。

package com.example.demo;

import javax.crypto.Mac;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.text.SimpleDateFormat;
import java.util.*;

/**
 * 阿里云IP地理位置库查询IP(v4格式)验签代码简易实现
 * 其它语言可跟根据思路自行实现
 */
public class SignatureUrl {

    private static final String ACCESS_KEY_ID = "test-key";
    private static final String ACCESS_KEY_SECRET = "test-secret";

    public static void main(String[] args) throws Exception {
        String url = getUrl("221.206.131.10");
        System.out.println(url);
    }

    /**
     * 根据公共参数生成url,可通过浏览器等访问
     *
     * @param ip 被查询ip
     */
    private static String getUrl(String ip) throws Exception {
        //公共请求参数
        Map<String, String> data = new HashMap<>(11);
        data.put("Format", "JSON");
        data.put("Version", "2020-01-01");
        data.put("AccessKeyId", ACCESS_KEY_ID);
        data.put("Timestamp", getTimestamp());
        data.put("SignatureNonce", getUuid());
        data.put("SignatureMethod", "HMAC-SHA1");
        data.put("SignatureVersion", "1.0");
        data.put("Action", "DescribeIpv4Location");
        data.put("Ip", ip);
        data.put("RegionId", "cn-hangzhou");
        data.put("Lang", "en");

        //参数排序
        Map<String, String> map = sortMapByKey(data);

        //拼接GET参数
        StringBuilder param = new StringBuilder();
        for (Map.Entry<String, String> entry : map.entrySet()) {
            param.append(getUtf8Encoder(entry.getKey())).append("=").append(getUtf8Encoder(entry.getValue())).append("&");
        }
        param = new StringBuilder(param.substring(0, param.length() - 1));

        //验签过程
        String sign = getUtf8Encoder("GET") + "&" + getUtf8Encoder("/") + "&";
        sign += getUtf8Encoder(new String(param));

        String base64 = Base64.getEncoder().encodeToString(hmacSha1Encrypt(sign, ACCESS_KEY_SECRET + "&"));
        String encode = getUtf8Encoder(base64);

        //请求地址
        return String.format("https://geoip.aliyuncs.com?%s&Signature=%s", new String(param), encode);
    }

    /**
     * 生成uuid
     */
    private static String getUuid() {
        return UUID.randomUUID().toString();
    }

    /**
     * 生成UTC时间
     */
    private static String getTimestamp() {
        SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd'T'HH:mm:ss'Z'");
        format.setTimeZone(TimeZone.getTimeZone("GMT" + 8));
        return format.format(new Date());
    }

    /**
     * HmacSHA1验签
     *
     * @param encryptText 验签字符串
     * @param encryptKey  验签密钥
     */
    public static byte[] hmacSha1Encrypt(String encryptText, String encryptKey) throws Exception {
        String name = "HmacSHA1";
        String type = "UTF-8";
        byte[] data = encryptKey.getBytes(type);
        SecretKey secretKey = new SecretKeySpec(data, name);
        Mac mac = Mac.getInstance(name);
        mac.init(secretKey);
        byte[] text = encryptText.getBytes(type);
        return mac.doFinal(text);
    }

    /**
     * 转义并替换特殊字符
     *
     * @param param 被替换字符串
     */
    private static String getUtf8Encoder(String param) throws UnsupportedEncodingException {
        return URLEncoder.encode(param, "UTF-8")
                .replaceAll("\\+", "%20")
                .replaceAll("\\*", "%2A")
                .replaceAll("%7E", "~");
    }

    /**
     * 根据key值排序map
     *
     * @param map 公共参数
     */
    public static Map<String, String> sortMapByKey(Map<String, String> map) {
        if (map == null || map.isEmpty()) {
            return null;
        }

        Map<String, String> sortMap = new TreeMap<>(new Comparator<String>() {
            @Override
            public int compare(String str1, String str2) {
                return str1.compareTo(str2);
            }
        });
        sortMap.putAll(map);

        return sortMap;
    }
}