不正アクセスを防ぐためにHTTPトリガーの署名認証を設定する - Function Compute

Function Computeは、HTTPトリガーの署名認証をサポートしています。 Function Computeのゲートウェイは、署名認証が有効になっているHTTPトリガーに送信されるリクエストを認証します。これにより、リクエストの署名を手動で認証する必要なく、ビジネスロジックに集中できます。このトピックでは、Function ComputeコンソールでHTTPトリガーの署名認証を設定する方法について説明します。このトピックでは、リクエストでシグネチャを使用してHTTPトリガーをトリガーする方法についても説明します。

HTTPトリガーの署名認証の有効化

ここでは、関数の既存のHTTPトリガーの署名認証を有効にする方法について説明します。事前にweb関数を作成する必要があります。詳細については、「関数の作成」をご参照ください。

Function Computeコンソールにログインします。左側のナビゲーションウィンドウで、[関数] をクリックします。
上部のナビゲーションバーで、リージョンを選択します。 [関数] ページで、管理する関数をクリックします。
機能の詳細ページで、[設定] タブをクリックします。左側のナビゲーションツリーで、[トリガー] をクリックします。次に、管理するトリガーを見つけて、[操作] 列の [変更] をクリックします。
[トリガーの変更] パネルで、[認証方法] を [署名認証] に設定し、[OK] をクリックします。

リクエストで署名を使用したHTTPトリガーのURLへのアクセス

SDKのAlibaba Cloud署名方式が使用されています。詳細については、「署名方法」をご参照ください。 Alibaba Cloud SDKは、さまざまなプログラミング言語の署名方法を提供します。次の項目では、リクエストで署名を使用するプロセスについて説明します。

Alibaba Cloud SDKを使用して署名文字列を生成します。
HTTPリクエストのAuthorizationヘッダーに署名文字列を含めます。
HTTPクライアントを使用してリクエストを開始します。

署名SDK

Alibaba Cloudは、さまざまなプログラミング言語の署名SDKを提供します。このセクションでは、署名SDKをインストールするための便利な方法を提供します。

Language	SDK
Golang	go ge t github.com/alibabacloud-go/openapi-util/service
Python	pipインストールalibabacloud-openapi-util
Node.js	npm install @ alicloud/openapi-util
Java	`<dependency> <groupId>com.aliyun</groupId> <artifactId>openapiutil</artifactId> <version>0.2.1</version> </dependency> <dependency> <groupId>com.aliyun</groupId> <artifactId>tea-openapi</artifactId> <version>0.3.1</version> </dependency>`

例

このセクションでは、参考のためにさまざまなプログラミング言語のサンプルリクエストを提供します。完全な署名方法の詳細については、「署名方法」をご参照ください。

Python

# -*- coding: utf-8 -*-

import os
from datetime import datetime
from urllib.parse import urlparse, parse_qs
import requests
from alibabacloud_openapi_util.client import Client as util
from Tea.request import TeaRequest

accessKeyId = os.environ['ALIBABA_CLOUD_ACCESS_KEY_ID']
accessKeySecret = os.environ['ALIBABA_CLOUD_ACCESS_KEY_SECRET']
securityToken=os.environ.get ('ALIBABA_CLOUD_SECURITY_TOKEN, '') # Optional. If you use Security Token Service (STS), you must specify this parameter.

method = 'POST'
body = 'hello world'
url = 'https://xx.cn-shanghai.fcapp.run/hello?foo=bar' # The URL of your HTTP trigger.
date = datetime.utcnow().isoformat('T')[:19]+'Z'
headers = {
    'x-acs-date': date,
    'x-acs-security-token': securityToken
}

parsedUrl = urlparse(url)
authRequest = TeaRequest()
authRequest.method = method
authRequest.pathname = parsedUrl.path.replace('$', '%24')
authRequest.headers = headers
authRequest.query = {k: v[0] for k, v in parse_qs(parsedUrl.query).items()}

auth = util.get_authorization(authRequest, 'ACS3-HMAC-SHA256', '', accessKeyId, accessKeySecret)
headers['authorization'] = auth

resp = requests.post(url, body, headers=headers)

print(resp.text)

Node.js

const util = require("@alicloud/openapi-util");
const axios = require('axios');

async function main() {
    const accessKeyId = process.env['ALIBABA_CLOUD_ACCESS_KEY_ID'];
    const accessKeySecret = process.env['ALIBABA_CLOUD_ACCESS_KEY_SECRET'];
    const securityToken=process.env ['ALIBABA_CLOUD_SECURITY_TOKEN'] | | ''; // Optional. If you use Security Token Service (STS), you must specify this parameter.

    const method = 'POST';
    const body = 'hello world';
    const url='https://xx.cn-shanghai.fcapp.run/hello?foo=bar' // The URL of your HTTP trigger.
    const date = new Date().toISOString();
    let headers = {
        'x-acs-date': date,
        'x-acs-security-token': securityToken
    };

    const parsedUrl = new URL(url);
    const authRequest = {
        method: method,
        pathname: parsedUrl.pathname.replace('$', '%24'),
        headers: headers,
        query: Object.fromEntries(parsedUrl.searchParams),
    };
    console.log('auth: ', authRequest);
    const auth = util.default.getAuthorization(authRequest, 'ACS3-HMAC-SHA256', '', accessKeyId, accessKeySecret);
    headers['authorization'] = auth;
    
    const resp = await axios.post(url, body, {
        headers: headers,
    });
    console.log('resp: ', resp.data);
}

main().catch(console.error);

package main

import (
	"io/ioutil"
	"log"
	"net/http"
	"os"
	"strings"
	"time"

	openapiutil "github.com/alibabacloud-go/openapi-util/service"
	"github.com/alibabacloud-go/tea/tea"
)

func main() {
	accessKeyId := tea.String(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
	accessKeySecret := tea.String(os.Getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"))
	securityToken := tea.String(os.Getenv("ALIBABA_CLOUD_SECURITY_TOKEN")) // Optional. If you use Security Token Service (STS), you must specify this parameter.

	method := "POST"
	body := "hello world"
	url = 'https://xx.cn-shanghai.fcapp.run/hello?foo=bar' # The URL of your HTTP trigger.
	req, err := http.NewRequest(method, url, strings.NewReader(body))
	if err != nil {
		log.Printf("new request error: %v", err)
		return
	}
	date := time.Now().UTC().Format(time.RFC3339)
	req.Header.Set("x-acs-date", date)
	req.Header.Set("x-acs-security-token", *securityToken)

	authRequest := &tea.Request{
		Method:   &method,
		Pathname: tea.String(strings.ReplaceAll(req.URL.Path, "$", "%24")),
		Headers:  make(map[string]*string),
		Query:    make(map[string]*string),
	}
	for k := range req.URL.Query() {
		authRequest.Query[k] = tea.String(req.URL.Query().Get(k))
	}
	for k := range req.Header {
		authRequest.Headers[k] = tea.String(req.Header.Get(k))
	}
	auth := openapiutil.GetAuthorization(authRequest, tea.String("ACS3-HMAC-SHA256"), nil, accessKeyId, accessKeySecret)
	req.Header.Set("authorization", *auth)

	resp, err := http.DefaultClient.Do(req)
	if err != nil {
		log.Printf("post error: %v", err)
		return
	}
	defer resp.Body.Close()
	buf, err := ioutil.ReadAll(resp.Body)
	if err != nil {
		log.Printf("read body error: %v", err)
		return
	}
	log.Printf("resp: %v, body: %s", resp, string(buf))
}

Java

package com.aliyun.sample;

import org.apache.http.NameValuePair;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.client.utils.URLEncodedUtils;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;

import java.net.URI;
import java.nio.charset.StandardCharsets;
import java.time.Instant;
import java.util.HashMap;
import java.util.Map;

import com.aliyun.tea.*;

public class Sample {
    public static void main(String[] args_) throws Exception {
        String accessKeyId = System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID");
        String accessKeySecret = System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET");
        String securityToken=System.getenv ("ALIBABA_CLOUD_SECURITY_TOKEN"); // Optional. If you use Security Token Service (STS), you must specify this parameter.
        if (securityToken == null) {
            securityToken = "";
        }

        String method = "POST";
        String body = "hello world";
        String url = "https://xx.cn-shanghai.fcapp.run/hello?foo=bar"; // The URL of your HTTP trigger.
        Map<String, String> headers = new HashMap<String, String>();
        String date = Instant.now().toString();
        headers.put("x-acs-date", date);
        headers.put("x-acs-security-token", securityToken);

        URI uri = new URI(url);
        Map<String, String> query = new HashMap<String, String>();
        for (NameValuePair pair : URLEncodedUtils.parse(uri, StandardCharsets.UTF_8)) {
            query.put(pair.getName(), pair.getValue());
        }
        TeaRequest req = new TeaRequest();
        req.method = method;
        req.pathname = uri.getPath().replace("$", "%24");
        req.headers = headers;
        req.query = query;

        String auth = com.aliyun.openapiutil.Client.getAuthorization(
            req, "ACS3-HMAC-SHA256", "", accessKeyId, accessKeySecret);
        headers.put("authorization", auth);

        HttpPost request = new HttpPost(url);
        for (Map.Entry<String, String> entry : headers.entrySet()) {
            request.setHeader(entry.getKey(), entry.getValue());
        }
        StringEntity entity = new StringEntity(body);
        request.setEntity(entity);

        // Execute the request
        try (CloseableHttpClient httpClient = HttpClients.createDefault()) {
            org.apache.http.HttpResponse response = httpClient.execute(request);
            String responseString = EntityUtils.toString(response.getEntity(), StandardCharsets.UTF_8);
            System.out.println(responseString);
        }
    }
}

手順

この例では、Goを使用して、リクエストに署名を含めてHTTPトリガーにアクセスする方法を示します。

go ge t github.com/alibabacloud-go/openapi-util/serviceコマンドを実行し、SDKをインストールします。
オンプレミスマシンでmain.goファイルを準備します。
このトピックで提供されているサンプルコードを直接使用できます。詳細は、「例」をご参照ください。

go Run main.goを実行してコードを実行します。

次の情報が返された場合、コードは正常に実行され、関数は応答を返しました。

2024/02/22 17:21:31 resp: &{200 OK 200 HTTP/1.1 1 1 map[Access-Control-Expose-Headers:[Date,x-fc-request-id] Content-Disposition:[attachment] Content-Length:[14] Content-Type:[text/plain; charset=utf-8] Date:[Thu, 22 Feb 2024 09:21:31 GMT] X-Fc-Request-Id:[1-65d71219-15d63510-fecf237c590c]] 0xc000120040 14 [] false false map[] 0xc000100100 0xc0000e0370}, body: Hello, Golang!

FAQ

署名認証が有効になっているHTTPトリガーにアクセスすると、「必須HTTPヘッダー日付が指定されていません」というメッセージが表示されるのはなぜですか。

次の理由により、リクエストが署名認証に合格しません。

リクエストには署名が含まれていません。
リクエストには署名が含まれていますが、Dateヘッダーは含まれていません。

署名認証が有効なHTTPトリガーを使用して関数を呼び出すと、「リクエスト時刻「Thu, 04 Jan 2024 01:33:13 GMT」と現在時刻「Thu, 04 Jan 2024 08:34:58 GMT」の差が大きすぎる」というメッセージが表示されるのはなぜですか。

メッセージは、署名が期限切れになったことを示す。現在の時点を使用して、リクエストに再署名します。

署名認証が有効なHTTPトリガーを使用して関数を呼び出すと、「リクエスト時刻「Thu, 04 Jan 2024 01:33:13 GMT」と現在時刻「Thu, 04 Jan 2024 08:34:58 GMT」の差が大きすぎる」というメッセージが表示されるのはなぜですか。

リクエストの署名がFunction Computeによって計算された署名と一致しないため、認証は失敗します。