COS和请求签名是什么
COS 是腾讯云对象存储的缩写及简称,请求签名是第三方在调用COS相关接口时需要按需提供的、经过特定算法创建而成的一组字符串信息,将唯一的标识当前第三方身份,提供通信双方的身份识别,只有有效的签名COS才会提供服务
目标
使用 PHP 创建 COS 接口所需要的请求签名,与官方文档给出的示例做比较,验证算法的正确性
认识请求签名
先来看一条官方文档给出的请求签名的样子
q-sign-algorithm=sha1&q-ak=[SecretID]&q-sign-time=[SignTime]&q-key-time=[KeyTime]&q-header-list=[SignedHeaderList]&q-url-param-list=[SignedParameterList]&q-signature=[Signature]
请求签名特点总结
是一串字符串
key=value的键值对格式,key为固定值
一共有7对key=value
sha1也是参数,但截止到官方发文只支持sha1,因此可以直接赋值
SignedHeaderList、SignedParameterList、Signature三个value需要通过算法生成
键值对的具体描述参见。
逐个击破请求签名一共需要7个值,下面一一讲解,各个击破
q-sign-algorithm签名算法,官方目前仅支持 sha1,因此直接给值即可
q-ak账户ID,即用户的 SecretId,可以在控制台 云API密钥 页面获取
q-sign-time当前签名的有效起止时间,Unix时间戳格式,英文半角分号 ; 分割,格式如 1480932292;1481012298
q-key-time与 q-sign-time 值相同
q-header-list个人理解,由HTTP请求头组成,取全部或部分请求头,将 key:value 形式的请求项的 key 部分取出,转化小写,多个 key 按字典排序,以字符 ; 连接,最终组成字符串
如原始请求头有两个:
Host:bucket1-1254000000.cos.ap-beijing.myqcloud.com
Content-Type:image/jpeg
key 就是 Host 和 Content-Type,经过运算后输出 content-type;host
q-url-param-list个人理解,由HTTP请求参数组成,取全部或部分请求参数,将 key=value 形式的请求参数的 key 部分取出,转化小写,多个 key 按字典排序,以字符 ; 连接,最终组成字符串
如原始HTTP请求为:
GET /?prefix=abc&max-keys=20
key 就是 prefix 和 max-keys,经过运算后输出 max-keys;prefix,如果请求没有参数比如 put、post,此处即为空
q-signature根据HTTP内容计算签名,算法由COS提供,只需按要求给值
官方示例及参照结果在开始编写逻辑之前,先看一下官方示例给出的参考值,以及经过计算后的结果,以便和自己开发的逻辑进行结果比对
HTTP原始请求,也可以理解为计算签名前或不需要签名时的HTTP请求:
PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Hello world
计算签名后应该得到的HTTP请求:
PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Authorization: q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&> q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q-header-list=host;x-cos-content-sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10
Hello world
结论:算法如果能得到 Authorization 后的那一串字符串即为正确
准备工作来看一下(官方提供的)用户信息以及HTTP信息:
SecretId:AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
SecretKey:BQYIM75p8x0iWVFSIgqEKwFprpRSVHlz
签名有效起始时间:1417773892
签名有效停止时间:1417853898
HTTP原始请求头:根据上一节示例不难得到HTTP原始请求有三项内容 Host、x-cos-content-sha1 和 x-cos-storage-class
HTTP请求参数:是 PUT 请求,没有 ? 参数
计算签名将准备工作中的各项参数带入请求签名规则,不难就可以得到结果,如下表:
键(key)
值(value)
备注
q-sign-algorithm
sha1
目前仅支持 sha1 签名算法
q-ak
AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
SecretId 字段
q-sign-time
1417773892;1417853898
2014/12/5 18:04:52 到 2014/12/6 16:18:18
q-key-time
1417773892;1417853898
2014/12/5 18:04:52 到 2014/12/6 16:18:18
q-header-list
host;x-cos-content-sha1;x-cos-storage-class
HTTP 头部 key 的字典顺序排序列表
q-url-param-list
HTTP 参数列表为空
q-signature
14e6ebd7955b0c6da532151bf97045e2c5a64e10
通过代码计算所得
但 q-signature 怎么来的?
刚才说到,q-signature 也需要特定算法计算得来,下面就说明如何计算
计算请求签名
先看代码: