이 글에서는 PHP를 사용하여 COS 인터페이스를 생성하는 데 필요한 요청 서명을 주로 소개합니다. 알고리즘의 정확성을 확인하기 위해 공식 문서에 제공된 예제와 비교하십시오. 서명
COS는 Tencent Cloud Object Storage의 약자로, COS 관련 인터페이스를 호출할 때 제3자가 요청 시 제공해야 하는 특정 알고리즘에 의해 생성된 문자열 정보 집합입니다. 유효한 서명 COS만이 서비스를 제공합니다
Goal
PHP를 사용하여 COS 인터페이스에 필요한 요청 서명을 생성하고 이를 공식 문서에 제공된 예와 비교합니다. 알고리즘의 정확성 확인
요청 서명 이해
먼저 공식 문서에 제공된 요청 서명을 살펴보겠습니다
q-sign-algorithm=sha1&q-ak=[SecretID]&q-sign-time=[SignTime]&q-key-time=[KeyTime]&q-header-list=[SignedHeaderList]&q-url-param-list=[SignedParameterList]&q-signature=[Signature]
요청 서명의 특징 요약
은 문자열입니다. 키-값 쌍
-
key=value 형식, 키는 고정 값입니다
-
키=값의 7쌍이 있습니다
-
sha1도 매개변수이지만 공식 릴리스에서는 sha1만 지원하므로
-
SignedHeaderList, SignedParameterList, Signature 세 가지 값을 직접 할당할 수 있습니다. 알고리즘을 통해 생성해야 하는
-
키-값 쌍에 대한 자세한 설명은 공식 문서를 참조하세요. .
하나씩 깨기
서명을 요청하려면 총 7개의 값이 필요합니다. 각
q-sign-algorithm
서명 알고리즘을 깨기 위해 아래에서 하나씩 설명하겠습니다. 공식에서는 sha1만 지원하므로 그냥 주면 됩니다. 값을 직접
q-ak
계정 ID, 즉 사용자의 SecretId는 콘솔의 Cloud API Key 페이지에서 확인할 수 있습니다
q-sign-time
현재 서명, Unix 타임스탬프 형식, 영어 반각 세미콜론, 형식은 다음과 같습니다. 1480932292;1481012298
q-key-time
q-sign-time과 동일한 값
q-header-list
Personal 이해하면 HTTP 요청 헤더로 구성되며 요청 헤더의 전부 또는 일부를 가져와 키:값 형식을 사용합니다. 요청 항목의 키 부분을 꺼내어 소문자로 변환하고 사전에 따라 여러 키를 정렬하고 연결합니다. ; 문자를 사용하여 마지막으로 문자열을 형성합니다
예를 들어 원래 요청 헤더에는 2개의
Host:bucket1-1254000000.cos.ap-beijing.myqcloud.com
Content-Type:image/jpeg
key가 Host와 Content-Type이고 작업 후 출력 content-type;host
q-url-param-list가 있습니다.
개인적인 이해에 따르면, HTTP 요청 매개변수로 구성되며, 요청 매개변수의 전부 또는 일부를 취하고, 요청 매개변수의 핵심 부분을 키=값 형식으로 꺼내어 소문자로 변환합니다. 여러 키가 사전별로 정렬됩니다. , 문자 ;로 연결되어 최종적으로 문자열
으로 구성됩니다. 예를 들어 원래 HTTP 요청은
GET /?prefix=abc&max-keys=20
key가 prefix와 max-keys이고, 연산 후에는 max-keys가 출력됩니다. 요청에 put, post와 같은 매개변수가 없습니다. 이것은 비어 있습니다.
q-signature
HTTP 콘텐츠를 기반으로 서명을 계산하고, 알고리즘은 COS에서 제공하며, 필요한 대로 값을 제공하세요
공식 예시 및 참조 결과
논리 작성을 시작하기 전에 먼저 살펴보세요. 공식 예제에서 제공하는 참조 값과 계산된 결과를 살펴보고 자신이 개발한 논리와 결과를 비교할 수 있습니다. HTTP 원래 요청은 서명을 계산하기 전이나 서명이 필요하지 않은 경우의 HTTP 요청으로도 이해될 수 있습니다:
PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Hello world
서명을 계산한 후 얻어야 하는 HTTP 요청:
PUT /testfile2 HTTP/1.1
Host: bucket1-1254000000.cos.ap-beijing.myqcloud.com
x-cos-content-sha1: 7b502c3a1f48c8609ae212cdfb639dee39673f5e
x-cos-storage-class: standard
Authorization: q-sign-algorithm=sha1&q-ak=AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q&> q-sign-time=1417773892;1417853898&q-key-time=1417773892;1417853898&q-header-list=host;x-cos-content-sha1;x-cos-storage-class&q-url-param-list=&q-signature=14e6ebd7955b0c6da532151bf97045e2c5a64e10
Hello world
결론: 서명을 계산할 수 있다면 알고리즘은 올바른 것입니다. Authorization 후 문자열
Preparation
(공식적으로 제공되는) 사용자 정보와 HTTP 정보를 살펴보겠습니다.
SecretId: AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
- SecretKey: BQYIM75p8 x0iWVFSIgqEKwFprpRSVHlz
- 서명 유효 시작 시간: 141 7773892
- 서명 유효한 중지 시간: 1417853898
- HTTP 원본 요청 헤더: 이전 섹션의 예와 다름 호스트, x-cos-content의 세 가지 콘텐츠가 있는 HTTP 원본 요청을 가져오기가 어렵습니다. -sha1 및 x-cos-storage-class
- HTTP 요청 매개변수: PUT 요청인가요, 아니요? 매개변수
- 서명 계산이 준비됩니다. 작업 중 다양한 매개변수를 요청 서명 규칙에 가져옵니다. , 다음 표와 같이 결과를 얻는 것은 어렵지 않습니다.
Key(키)
Value(값)Remarks |
|
| q-sign-algorithm
sha1
현재 sha1 서명 알고리즘만 지원합니다 |
| q-ak | AKIDQjz3ltompVjBni5LitkWHFlFpwkn9U5q
SecretId 필드 |
| q-sign-time | 14177 73892;1417853898
2014/12/5 18:04 :52 ~ 2014 /12/6 16:18:18 |
| q-key-time | 1417773892;1417853898
2014/12/5 18:04:52 ~ 2014/12/6 16:18:18 |
| q-header-list | host 매개변수 목록이 비어 있습니다
| Q-SIGNATURE | 14E6EBD7955B0C6DA532151BF97045E2C5A64E10 |
但 q-signature 怎么来的?
刚才说到,q-signature 也需要特定算法计算得来,下面就说明如何计算
计算请求签名
先看代码:
/**
* 计算签名
* secretId、secretKey 为必需参数,qSignStart、qSignEnd为调试需要,测试通过后应取消,改为方法内自动创建
*/
function get_authorization( $secretId, $secretKey, $qSignStart, $qSignEnd, $fileUri, $headers ){
/*
* 计算COS签名
* 2018-05-17
* author:cinlap <cash216@163>
* ref:https://cloud.tencent.com/document/product/436/7778
*/
$qSignTime = "$qSignStart;$qSignEnd"; //unix_timestamp;unix_timestamp
$qKeyTime = $qSignTime;
$header_list = get_q_header_list($headers);
//如果 Uri 中带有 ?的请求参数,该处应为数组排序后的字符串组合
$url_param_list = '';
//compute signature
$httpMethod = 'put';
$httpUri = $fileUri;
//与 q-url-param-list 相同
$httpParameters = $url_param_list;
//将自定义请求头分解为 & 连接的字符串
$headerString = get_http_header_string( $headers );
// 计算签名中的 signature 部分
$signTime = $qSignTime;
$signKey = hash_hmac('sha1', $signTime, $secretKey);
$httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
$sha1edHttpString = sha1($httpString);
$stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
$signature = hash_hmac('sha1', $stringToSign, $signKey);
//组合结果
$authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime&q-header-list=$header_list&q-url-param-list=$url_param_list&q-signature=$signature";
return $authorization;
}为了测试,该方法参数应该是多过需要了,前六个参数是已经给出的,是来自用户的,因此直接赋值即可得到下边字符串:
$authorization = "q-sign-algorithm=sha1&q-ak=$secretId&q-sign-time=$qSignTime&q-key-time=$qKeyTime...
$header_list 这个值要符合 q-header-list 规则因此需要计算,逻辑是上文已经描述,是从既定的请求项中抽出 key 组成有序字符串,代码如下:
/**
* 按COS要求对header_list内容进行转换
* 提取所有key
* 字典排序
* key转换为小写
* 多对key=value之间用连接符连接
*
*/
function get_q_header_list($headers){
if(!is_array($headers)){
return false;
}
try{
$tmpArray = array();
foreach( $headers as $key=>$value){
array_push($tmpArray, strtolower($key));
}
sort($tmpArray);
return implode(';', $tmpArray);
}
catch(Exception $error){
return false;
}
}$url-param-list 上面讲过,这个值是HTTP请求参数,对于 PUT 方法没有 ? 参数,自然值为空,所以代码中“偷懒”直接给了空字符串。
Signature 的计算和需要小心的地方
官方已经给出了完整的算法,PHP 甚至还有写好的代码,应该是很幸福了(但!由于看官方文档看的头晕还是踩了坑,随后一起说明),先看一下 signature 的“格式”:
SignKey = HMAC-SHA1(SecretKey,"[q-key-time]")
HttpString = [HttpMethod]\n[HttpURI]\n[HttpParameters]\n[HttpHeaders]\n
StringToSign = [q-sign-algorithm]\n[q-sign-time]\nSHA1-HASH(HttpString)\n
Signature = HMAC-SHA1(SignKey,StringToSign)
再看一下 Signature 的完整算法:
$signTime = $qSignTime;
$signKey = hash_hmac('sha1', $signTime, $secretKey);
$httpString = "$httpMethod\n$httpUri\n$httpParameters\n$headerString\n";
$sha1edHttpString = sha1($httpString);
$stringToSign = "sha1\n$signTime\n$sha1edHttpString\n";
$signature = hash_hmac('sha1', $stringToSign, $signKey);
$signTime:很简单,起止时间组成的字符串,从上文拿来直接用
$signKey:HMAC-SHA1 算法直接计算即可
$httpString:四个部分组成需要分开说
1、$httpMethod:HTTP请求方法,小写,比如 put、get
2、$httpUri:HTTP请求的URI部分,从“/”虚拟根开始,如 /testfile 说明在存储桶根目录下创建一个叫 testfile 的文件,/image/face1.jpg 说明在根目录/image目录下建立一个叫 face1.jpg 的文件,至于是不是图片文件,不管
3、$httpParameters:这是第一个需要小心的地方。由HTTP原始请求参数组成,即请求 URI 中 ? 后面的部分,本例调用的是 PUT Object 接口,因此为空。如果不为空,需要把请求参数每一项的 key 和 value 均转换小写,多对 key=value 按字典排序并以 & 相连接
4、$headerString:这是第二个需要小心的地方,由 HTTP 原始请求头组成,根据请求头,选择全部或部分请求头,把每项的key都转换为小写,把value都进行URLEncode转换,每项格式都改为key=value,然后按照key进行字典排序,最后把它们用连接符 & 组成字符串。这是我整理的逻辑,代码如下:
/**
* 按COS要求从数组中获取 Signature 中 [HttpString] 内容
* 标准格式 key=value&key=value&...
* 数组元素按键字典排序 *
* key转换为小写
* value进行UrlEncode转换
* 转换为key=value格式
* 多对key=value之间用连接符连接
*
*/
function get_http_header_string($headers){
if(!is_array($headers)){
return false;
}
try{
$tmpArray = array();
foreach($headers as $key => $value){
$tmpKey = strtolower($key);
$tmpArray[$tmpKey] = urlencode($value);
}
ksort($tmpArray);
$headerArray = array();
foreach( $tmpArray as $key => $value){
array_push($headerArray, "$key=$value");
}
return implode('&', $headerArray);
}
catch(Exception $error){
return false;
}
}为什么要小心?
HTTP原始请求头和请求参数用在了四个地方,分别是请求签名里的 q-header-list 和 Signature 里的 HttpHeaders——两者都用到了HTTP原始请求头;请求签名里的 q-url-param-list 和 Signature 里的 HttpParameters——两者都用到了HTTP请求参数。一定要保证HTTP请求头和请求参数所选用的数量和对象一致
相同:生成 q-header-list 的HTTP请求头数量和成员要和生成 HttpHeaders 的相同,生成 q-url-param-list 的HTTP请求参数数量和成员要和生成 HttpParameters 的相同
不同:q-header-list 和 q-url-param-list 只取 key 部分,HttpHeaders 和 HttpParameters 取 key 和 value 部分
输出结果和校验
至此,请求签名中7个值都有了,有的是来自用户信息,有的需要计算,需要计算的上面也给出了所有的计算方法和为什么如此计算的个人理解。最后只需要按照官方要求进行输出即可。看一下
위 내용은 PHP는 Tencent Cloud COS 인터페이스에 필요한 요청 서명을 생성합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
