Я использую AWS Signature Version 4 для предварительной подписи URL-адреса для запросов GET. У меня был весь модуль, работающий с образцом кода, который AWS использовал в своей документации. Когда я попытался использовать его в своем собственном ведре s3 (после изменения всех значений примера на мои реальные значения), это дало мне ошибку SignatureDoesNotMatch. Я пытался бесчисленные часы, чтобы увидеть, что я пропускаю или делаю неправильно в своем коде. Я уверен, что это что-то незначительное, но я не могу понять причину, по которой это вычисляет подпись, отличную от подписи AWS.
Параметры будут добавляться в конец моих запросов GET, поскольку оператор return отправляет их обратно (а не отправляет через заголовки в запросе).
Вот модуль, который я создал.
require 'openssl'
module AwsPresignUrl
extend self
SECRET_KEY = ENV.fetch("AWS_SECRET_ACCESS_KEY")
ACCESS_KEY = ENV.fetch("AWS_ACCESS_KEY_ID")
METHOD = "GET"
REGION = "us-east-2"
EXPIRES = 10000
HOST = "s3.us-east-2.amazonaws.com"
SERVICE = "s3"
def get_signature_key(key, dateStamp, regionName, serviceName)
kDate = OpenSSL::HMAC.digest('sha256', "AWS4" + key, dateStamp)
kRegion = OpenSSL::HMAC.digest('sha256', kDate, regionName)
kService = OpenSSL::HMAC.digest('sha256', kRegion, serviceName)
kSigning = OpenSSL::HMAC.digest('sha256', kService, "aws4_request")
end
def generate_signed_url(path: "/")
t = Time.now.utc
amz_date = t.strftime('%Y%m%dT%H%M%SZ')
date_stamp = t.strftime('%Y%m%d')
credential_scope = [date_stamp, REGION, SERVICE, 'aws4_request'].join("/")
amz_credential = uri_encode(path: [ACCESS_KEY, credential_scope].join('/'))
algorithm = 'AWS4-HMAC-SHA256'
# Task 1: Create a Canonical Request For Signature Version 4
# http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html
# payload_hash = OpenSSL::Digest.new("sha256").hexdigest("")
canonical_uri = uri_encode(path: path)
signed_headers = "host;x-amz-algorithm;x-amz-content-sha256;x-amz-credential;x-amz-date;x-amz-expires;x-amz-signedheaders"
payload_hash = "UNSIGNED-PAYLOAD"
canonical_headers = ["host:" + HOST,
"x-amz-algorithm:" + algorithm,
"x-amz-content-sha256:" + payload_hash,
"x-amz-credential:" + amz_credential,
"x-amz-date:" + amz_date,
"x-amz-expires:" + EXPIRES.to_s,
"x-amz-signedheaders:" + signed_headers
].join("\n") + "\n"
canonical_query_string = "X-Amz-Algorithm=#{algorithm}" +
"&X-Amz-Credential=#{amz_credential}" +
"&X-Amz-Date=#{amz_date}" +
"&X-Amz-Expires=#{EXPIRES}" +
"&X-Amz-Content-Sha256=#{payload_hash}" +
"&X-Amz-SignedHeaders=#{signed_headers}"
canonical_request = [METHOD, canonical_uri, canonical_query_string, canonical_headers,
signed_headers, payload_hash].join("\n")
canonical_request_digest_hash = OpenSSL::Digest.new("sha256").hexdigest(canonical_request)
# Task 2: Create a String to Sign for Signature Version 4
# http://docs.aws.amazon.com/general/latest/gr/sigv4-create-string-to-sign.html
string_to_sign = [algorithm, amz_date, credential_scope, canonical_request_digest_hash].join("\n")
# Task 3: Calculate the AWS Signature Version 4
# http://docs.aws.amazon.com/general/latest/gr/sigv4-calculate-signature.html
signing_key = get_signature_key(SECRET_KEY, date_stamp, REGION, SERVICE)
# Task 4: Add the Signing Information to the Request
# http://docs.aws.amazon.com/general/latest/gr/sigv4-add-signature-to-request.html
signature = OpenSSL::HMAC.hexdigest('sha256', signing_key, string_to_sign)
return "?X-Amz-Algorithm=#{algorithm}" +
"&X-Amz-Credential=#{amz_credential}" +
"&X-Amz-Date=#{amz_date}" +
"&X-Amz-Expires=#{EXPIRES}" +
"&X-Amz-Content-Sha256=#{payload_hash}" +
"&X-Amz-SignedHeaders=#{signed_headers}" +
"&X-Amz-Signature=#{signature}"
end
def uri_encode(path:, encode_slash: true)
encoded_uri = ""
path.chars.each do |ch|
if ((ch >= 'A' && ch <= 'Z') || (ch >= 'a' && ch <= 'z') || (ch >= '0' && ch <= '9') || ch == '_' || ch == '-' || ch == '~' || ch == '.')
encoded_uri << ch
elsif (ch == '/')
encoded_uri << (encode_slash ? "%2F" : ch)
else
encoded_uri << (ch.unpack('U'*ch.length).collect{|x| x.to_s 16})
end
end
encoded_uri
end