我已经看到 S3 对象的预签名 URL。是否可以为 API 网关创建预签名 URL。我已经经历过文档 https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html。我正在使用.NET。我想知道是否有 .NET 库可用于为网关 API 创建预签名请求。
ISSUE
I have GETAPI是这样的https://xxxxxx.execute-api.us-east-1.amazonaws.com/dev/pets?type=dog&page=1我们的客户偶尔会调用该 API。他们使用的遗留工具仅支持GET。所以我想创建一个预签名 URL(到期时间短)并在他们要求时提供给他们。对于我已经拥有的每个客户IAM用户及其各自的accesskey and secretkey
预签名 URL 通常使用 AWS 进行签名SigV4 https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html签署过程。
您可以为您的网站生成 SigV4 签名的 URLAPI网关 https://docs.aws.amazon.com/apigateway/api-reference/signing-requests/托管端点。通常,您需要在授权请求标头中发送 SigV4 签名。如果您是客户愿意发送标头,here https://github.com/tsibelman/aws-signer-v4-dot-net是一个您可以尝试使用 .NET 的示例库,它创建带有签名标头的 HTTP 请求。
如果您的客户无法发送授权标头或无法使用上述库,那么您可以将签名转换为查询字符串格式并向他们提供预签名的 URL。
This https://docs.aws.amazon.com/general/latest/gr/sigv4-signed-request-examples.html#sig-v4-examples-get-query-stringAWS 文档提供了有关如何生成查询字符串 URL 的 Python 示例。现在,您可以使用 python 示例并使用以下示例转换为基于 .NET 的代码。
public string GetSig4QueryString(string host, string service, string region)
{
var t = DateTimeOffset.UtcNow;
var amzdate = t.ToString("yyyyMMddTHHmmssZ");
var datestamp = t.ToString("yyyyMMdd");
var canonical_uri = "/dev/myApigNodeJS";
var canonical_headers = "host:" + host+"\n";
var signed_headers = "host";
var credential_scope = $"{datestamp}/{region}/{service}/aws4_request";
var canonical_querystring = "X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=" + WebUtility.UrlEncode(_access_key + "/" + credential_scope)
+ "&X-Amz-Date=" + amzdate + "&X-Amz-SignedHeaders=" + signed_headers;
Console.WriteLine("canonical_querystring");
Console.WriteLine(canonical_querystring);
var payload_hash = Hash(new byte[0]);//No Payload for GET
var canonical_request = new StringBuilder();
canonical_request.Append("GET\n");
canonical_request.Append(canonical_uri + "\n");
canonical_request.Append(canonical_querystring + "\n");
canonical_request.Append(canonical_headers + "\n");
canonical_request.Append(signed_headers + "\n");
canonical_request.Append(payload_hash);
Console.WriteLine("canonical_request");
Console.WriteLine(canonical_request);
var string_to_sign = $"{algorithm}\n{amzdate}\n{credential_scope}\n" + Hash(Encoding.UTF8.GetBytes(canonical_request.ToString()));
Console.WriteLine("string_to_sign");
Console.WriteLine(string_to_sign);
var signing_key = GetSignatureKey(_secret_key, datestamp, region, service);
var signature = ToHexString(HmacSHA256(signing_key, string_to_sign));
var signed_querystring = canonical_querystring+"&X-Amz-Signature=" + signature;
return signed_querystring;
}
GetSig4QueryString("myApiId.execute-api.us-east-1.amazonaws.com","execute-api","us-east-1");
//Returned String --> X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential= AKIAIOSFODNN7EXAMPLE%2F20190104%2Fus-east-1%2Fexecute-api%2Faws4_request&X-Amz-Date=20190104T190309Z&X-Amz-SignedHeaders=host&X-Amz-Signature=7b830fce28f7800b3879a25850950f6c4247dfdc07775b6952295fa2fff03f7f
完整端点变成 -
Note -
- 此示例代码引用了来自的方法和变量Github https://github.com/tsibelman/aws-signer-v4-dot-net我上面给出的项目。
- 另外,此示例硬编码 API 路径
/dev/myApigNodeJS并签署它,对于具有完整绝对路径的您来说它将有所不同。
- AWS 建议对您计划在请求中发送的所有查询字符串、标头进行签名。浏览我提到的库的 .NET 代码并了解它是如何做到这一点的。
如果您有疑问,请告诉我。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
