认证鉴权

基本认证

Basic认证是客户端通过明文（Base64编码格式）传输用户名和密码到服务端进行认证

curl -u <operator>:<password> http://fss-<区域>.vhostgo.com/<bucket>/

或者，将用户名和密码按 operator:password 拼接 Base64 编码后加在请求头的 Authorization 字段中：


1
curl -X GET \
2
    http://fss-my.vhostgo.com/<bucket>/ \
3
    -H "Authorization: Basic XXXX"

签名认证

为了避免基本认证中 Base64 编码可逆带来的安全隐患，对象存储提供了签名认证这种更安全的认证方式。它结合请求关键信息和用户身份信息，计算一个消息摘要，作为请求的 Authorization，保证请求的安全。

Rest-API签名认证

对于REST API,认证信息 Authorization 放在 Header 中，

签名计算方法


xxxxxxxxxx
7
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>
7
))

相关参数说明

参数	必选	说明
Operator	`是`	用户名
Method	`是`	请求方式，如：GET、POST、PUT、HEAD 等
URI	`是`	请求路径，格式为`/bucket/URI`
Date	`是`	请求日期时间，如 Wed, 22 Apr 2020 02:26:58 GMT 或者 2020-04-22 10:26:58
Password	`是`	密码的 base64 值
Content-MD5	否	请求体的 MD5 值，如果文件太大计算 MD5 不方便或请求体为空，可以为空

注

非必选参数为空时，连同后面的 & 一起不参与签名计算。所有计算的 MD5 值，格式均是 32 位小写。
HMAC-SHA1 输出的必须是原生的二进制数据。
Date 用于验证该签名是否有效，REST API 签名有效时间为请求时间起的 30 分钟内

举例

请求签名


xxxxxxxxxx
9
1
// 操作员信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 参数信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上传文件的 MD5
9
Content-MD5 = 7ac66c0f148de9519b8bd264312c4d64

生成 Signature：


xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<Content-MD5>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,PUT&/westtest/07451cbbc932a122a262e39c6a159e7f.jpg&2020-04-23 16:13:54&7ac66c0f148de9519b8bd264312c4d64))
8
// HMAC-SHA1 返回的原生二进制数据进行 Base64 编码
9
= JFJ3zn/ilY263BtBzz49dvXk3Kw=

Authorization 签名：


xxxxxxxxxx
1
1
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=

请求 Header：


xxxxxxxxxx
7
1
PUT /westtest/07451cbbc932a122a262e39c6a159e7f.jpg HTTP/1.1
2
Authorization: WESTYUN westtest:JFJ3zn/ilY263BtBzz49dvXk3Kw=
3
Content-MD5: 7ac66c0f148de9519b8bd264312c4d64
4
Date: 2020-04-23 16:24:46
5
Content-Type: image/jpeg
6
Host: fss-my.vhostgo.com
7
Content-Length: 33456

Form-API签名认证

对于FORM API，认证信息 Authorization 放在HTTP的body中。签名计算方法


xxxxxxxxxx
8
1
Authorization: WESTYUN <Operator>:<Signature>
2
<Signature> = Base64 (HMAC-SHA1 (<Password>,
3
<Method>&
4
<URI>&
5
<Date>&
6
<Content-MD5>&
7
<Policy>
8
))

相关参数说明

参数	必选	说明
Operator	`是`	用户名
Method	`是`	请求方式，取值为POST
URI	`是`	请求路径，格式为`/bucket`
Date	`是`	请求日期时间，如 Wed, 22 Apr 2020 02:26:58 GMT 或者 2020-04-22 10:26:58
Password	`是`	密码的 base64 值
Content-MD5	否	请求体的 MD5 值，如果文件太大计算 MD5 不方便或请求体为空，可以为空
Policy	否	上传参数的Base64 编码，详见 Policy 算法

注

非必选参数为空时，连同后面的 & 一起不参与签名计算。所有计算的 MD5 值，格式均是 32 位小写。
HMAC-SHA1 输出的必须是原生的二进制数据。
Date 用于验证该签名是否有效，REST API 签名有效时间为请求时间起的 30 分钟内

policy 算法

生成步骤

将需要保护的上传参数键值对转换为 JSON 字符串
将第 1 步所得到的字符串进行 Base64 Encode 处理，得到 policy

注

参数和参数值必须是 UTF-8 编码，且不包含换行符。
参数 date 和 content-md5 就是签名中的 Date 和 Content-MD5，无需再加到policy参数列表中。

举例


xxxxxxxxxx
10
1
// 操作员信息
2
Operator = westtest          
3
Password = base64(westtest) = d2VzdHRlc3Q=
4
// 参数信息
5
Method = PUT                            
6
URI = /westtest/07451cbbc932a122a262e39c6a159e7f.jpg
7
Date = 2020-04-23 16:24:46
8
// 上传参数，需要计算 Policy
9
save-key = /{year}/{mon}/{day}/west_{random32}{.suffix}
10
expiration = 1800

生成 Policy


x
1
Policy = Base64 ({"save-key": "/{year}/{mon}/{day}/west_{random32}{.suffix}", "expiration": 1800)}
2
       = eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=
3

生成 Signature


xxxxxxxxxx
9
1
Signature = Base64 (HMAC-SHA1 (<Password>,
2
<Method>&
3
<URI>&
4
<Date>&
5
<policy>
6
))
7
= Base64 (HMAC-SHA1 (d2VzdHRlc3Q=,POST&/westtest&2023-06-05 10:54:01&eyJzYXZlLWtleSI6Ii97eWVhcn0ve21vbn0ve2RheX0vd2VzdF97cmFuZG9tMzJ9ey5zdWZmaXh9IiwiZXhwaXJhdGlvbiI6MTgwMH0=))
8
// HMAC-SHA1 返回的原生二进制数据进行 Base64 编码
9
= w2pjeLG5KNieSR4KrYe/7u7QlbA=

Authorization 签名


xxxxxxxxxx
1
1
authorization=WESTYUN westtest:w2pjeLG5KNieSR4KrYe/7u7QlbA=

完整请求示例