：签名机制

概述

RPC API要按以下格式在API请求的Query中增加签名（Signature）。

https://Endpoint/?SignatureVersion=1.0&SignatureMethod=HMAC-SHA1&Signature=CT9X0VtwR86fNWSnsc6v8YGOjuE%3D&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf

Signature = Base64( HMAC-SHA1( AccessKey Secret, UTF-8-Encoding-Of(StringToSign)) )

步骤一：构造待签名字符串

1. 使用请求参数构造规范化的请求字符串（Canonicalized Query String）。
   1. 按照参数名称的字典顺序对请求中所有的请求参数（包括公共请求参数和接口的自定义参数，但不包括公共请求参数中的Signature参数）进行排序。
      说明 当使用GET方法提交请求时，这些参数就是请求URI中的参数部分，即URI中“?”之后由“&”连接的部分。
   2. 对排序之后的请求参数的名称和值分别用UTF-8字符集进行URL编码。编码规则请参考下表。

      字符	编码方式
      A~Z、a~z和0~9以及“-”、“_”、“.”和“~”	不编码。
      其它字符	编码成 %XY 的格式，其中 XY 是字符对应ASCII码的16进制表示。例如英文的双引号（"）对应的编码为 %22。
      扩展的UTF-8字符	编码成 %XY%ZA…的格式。
      英文空格	编码成 %20，而不是加号（+）。 该编码方式和一般采用的application/x-www-form-urlencodedMIME格式编码算法（例如Java标准库中的java.net.URLEncoder的实现）存在区别。编码时可以先用标准库的方式进行编码，然后把编码后的字符串中的加号（+）替换成%20，星号（*）替换成%2A，%7E替换回波浪号（~），即可得到上述规则描述的编码字符串。本算法可以用下面的percentEncode方法来实现： private static final String ENCODING = "UTF-8"; private static String percentEncode(String value) throws UnsupportedEncodingException { return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null; }

   3. 将编码后的参数名称和值用英文等号（=）进行连接。
   4. 将等号连接得到的参数组合按顺序依次使用“&”符号连接，即得到规范化请求字符串。
2. 将构造的规范化字符串按照下面的规则构造成待签名的字符串。

   StringToSign=
         HTTPMethod + "&" +
         percentEncode("/") + "&" +
         percentEncode(CanonicalizedQueryString)

   其中：

   • HTTPMethod 是提交请求用的HTTP方法，例如GET。
   • percentEncode("/") 是按照URL编码规则对字符“/”进行编码得到的值，即%2F。
   • percentEncode(CanonicalizedQueryString) 是对构造的规范化请求字符串按URL编码规则编码后得到的字符串。

步骤二：计算签名值

1. 按照RFC2104的定义，计算待签名字符串（StringToSign）的HMAC值。
   说明 计算签名时使用的Key就是您持有的AccessKey Secret并加上一个“&”字符（ASCII:38）, 使用的哈希算法是SHA1。
2. 按照Base64编码规则把上面的HMAC值编码成字符串，即得到签名值（Signature）。
3. 将得到的签名值作为Signature参数添加到请求参数中。
   说明 得到的签名值在作为最后的请求参数值提交时要和其它参数一样，按照RFC3986的规则进行URL编码。

示例一：参数拼接法

以调用DescribeRegions查询地域为例。假设AccessKeyID为testid、AccessKeySecret为testsecret，签名流程如下所示：

1. 构造规范化请求字符串。

   https://ros.aliyuncs.com/?Timestamp=2019-08-23T12%3A46%3A24Z&Format=XML&AccessKeyId=testid&Action=DescribeRegions&SignatureMethod=HMAC-SHA1&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2019-09-10&SignatureVersion=1.0

2. 构造待签名字符串 。

   GET&%2F&AccessKeyId%3Dtestid%26Action%3DDescribeRegions%26Format%3DXML%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf%26SignatureVersion%3D1.0%26Timestamp%3D2019-08-23T12%253A46%253A24Z%26Version%3D2019-09-10

3. 计算签名值。

   因为AccessKey Secret为testsecret，则用于计算的Key为testsecret&，计算得到的签名值Signature为OLeaidS1JvxuMvnyHOwuJ+uX5qY=。以下示例使用的是Java Base64编码方法。

   Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(StringToSign) ) )

4. 添加RFC3986规则编码后的Signature=OLeaidS1JvxuMvnyHOwuJ%2BuX5qY%3D到步骤1的URL中。

   https://ros.aliyuncs.com/?SignatureVersion=1.0&Action=DescribeRegions&Format=XML&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2019-09-10&AccessKeyId=testid&Signature=OLeaidS1JvxuMvnyHOwuJ%2BuX5qY%3D&SignatureMethod=HMAC-SHA1&Timestamp=2019-08-23T12%253A46%253A24Z

5. 使用浏览器、curl或者wget等工具发送HTTPS请求，调用DescribeRegions查看阿里云的地域列表。

示例二：编程语言法

以调用DescribeRegions查询地域为例，假设AccessKeyID为testid、AccessKeySecret为testsecret，并且所有请求参数放在一个JavaMap<String, String>对象里。

1. 预定义编码方法。

   private static final String ENCODING = "UTF-8";
   private static String percentEncode(String value) throws UnsupportedEncodingException {
     return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
   }

2. 预定义编码时间格式Timestamp。参数Timestamp时间格式必须采用ISO 8601格式规范，并需要使用UTC时间，时区为+0。

   private static final String ISO8601_DATE_FORMAT = "yyyy-MM-dd'T'HH:mm:ss'Z'";
   private static String formatIso8601Date(Date date) {
     SimpleDateFormat df = new SimpleDateFormat(ISO8601_DATE_FORMAT);
     df.setTimeZone(new SimpleTimeZone(0, "GMT"));
     return df.format(date);
   }

3. 构造请求字符串。

   final String HTTP_METHOD = "GET";
   Map parameters = new HashMap();
   // 输入请求参数。
   parameters.put("Action", "DescribeRegions");
   parameters.put("Version", "2019-09-10");
   parameters.put("AccessKeyId", "testid");
   parameters.put("Timestamp", formatIso8601Date(new Date()));
   parameters.put("SignatureMethod", "HMAC-SHA1");
   parameters.put("SignatureVersion", "1.0");
   parameters.put("SignatureNonce", UUID.randomUUID().toString());
   parameters.put("Format", "XML");
   // 为请求参数排序。
   String[] sortedKeys = parameters.keySet().toArray(new String[]{});
   Arrays.sort(sortedKeys);
   final String SEPARATOR = "&";
   // 构造stringToSign字符串。
   StringBuilder stringToSign = new StringBuilder();
   stringToSign.append(HTTP_METHOD).append(SEPARATOR);
   stringToSign.append(percentEncode("/")).append(SEPARATOR);
   StringBuilder canonicalizedQueryString = new StringBuilder();
   for(String key : sortedKeys) {
   // 注意编码key和value。
     canonicalizedQueryString.append("&")
     .append(percentEncode(key)).append("=")
     .append(percentEncode(parameters.get(key)));
   }
   // 注意编码canonicalizedQueryString。
   stringToSign.append(percentEncode(
     canonicalizedQueryString.toString().substring(1)));

4. 计算签名值。

   因为AccessKey Secret为testsecret，则用于计算的Key为testsecret&，计算得到的签名值Signature为OLeaidS1JvxuMvnyHOwuJ+uX5qY=。

   // 以下是一段计算签名的示例代码。
   final String ALGORITHM = "HmacSHA1";
   final String ENCODING = "UTF-8";
   key = "testsecret&";
   Mac mac = Mac.getInstance(ALGORITHM);
   mac.init(new SecretKeySpec(key.getBytes(ENCODING), ALGORITHM));
   byte[] signData = mac.doFinal(stringToSign.getBytes(ENCODING));
   String signature = new String(Base64.encodeBase64(signData));

5. 添加RFC3986规则编码后的Signature=OLeaidS1JvxuMvnyHOwuJ%2BuX5qY%3D到步骤1的URL中。

   https://ros.aliyuncs.com/?SignatureVersion=1.0&Action=DescribeRegions&Format=XML&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2019-09-10&AccessKeyId=testid&Signature=OLeaidS1JvxuMvnyHOwuJ%2BuX5qY%3D&SignatureMethod=HMAC-SHA1&Timestamp=2019-08-23T12%253A46%253A24Z

6. 使用浏览器、curl或者wget等工具发送HTTPS请求，调用DescribeRegions查看阿里云的地域列表。