Windows Azure 共享访问签名始终给出：Forbidden 403

我正在尝试获取单个 blob 的共享访问签名，然后使用 REST api 下载该 blob。但是，我总是收到禁止的 403 错误消息。都在存储模拟器和云上。这是我的代码：

CloudStorageAccount storageAccount = CloudStorageAccount.Parse("myConnectionStringHere...");

CloudBlobClient blobClient = storageAccount.CreateCloudBlobClient();
CloudBlobContainer container = blobClient.GetContainerReference("containerName");
CloudBlob blob = container.GetBlobReference("blobName");

string sasToken = blob.GetSharedAccessSignature(new SharedAccessPolicy()
            {
                Permissions = SharedAccessPermission.Read,
                SharedAccessExpiryTime = DateTime.UtcNow + TimeSpan.FromHours(24)
            }
            );

string completeUri = string.Format(CultureInfo.InvariantCulture, "{0}{1}", blob.Uri, sasToken);

// now use the uri to make the rest call and download
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(completeUri);
request.Method = "GET";
using (HttpWebResponse resp = (HttpWebResponse)request.GetResponse())
{
    using (Stream s = resp.GetResponseStream())
        {
            using (FileStream fs = new FileStream("test.jpg", FileMode.Create, FileAccess.Write))
                {
                        byte[] buffer = new byte[8 * 1024];
                        int len;
                        while ((len = s.Read(buffer, 0, buffer.Length)) > 0)
                        {
                            fs.Write(buffer, 0, len);
                        }
                    }
                }
            }

调用 GetResponse 时，我不断收到 403 错误。任何帮助表示赞赏！

编辑：忘记提及：我正在使用最新的azure sdk（2.0）

编辑2：我进行了很多实验，发现了一个名为Azure Management Studio的工具。该工具能够创建 SAS 令牌。我这样做了，并将其与我的 REST 调用代码一起使用。这工作得很好，所以错误必须在我编写的令牌创建代码中。然而，sas字符串的格式是完全相同的。我不知道还能尝试什么

我注意到一些事情：

1. 您提到您正在使用 SDK 2.0，但我认为您没有使用最新的存储客户端库 (2.0.6)。从您的代码来看，您似乎仍在使用旧的存储客户端库（1.8）。如果您要引用，请检查您的代码Microsoft.WindowsAzure.StorageClient or Microsoft.WindowsAzure.Storage。如果是前者，那么您使用的是旧库。
2. 如果您使用的是旧存储客户端库，请注意，对于使用旧存储 REST API 的旧存储客户端库，对于匿名 SAS 令牌（即没有容器访问策略的令牌），您指定的过期时间不能超过距当前时间 1 小时（当然是 UTC）。如果我尝试使用您的 URL，我会收到以下错误消息（在AuthenticationErrorDetail node:

没有签名标识符的访问时间窗口不能超过 1 小时

您可以尝试创建一个有效期不到 1 小时的 SAS 令牌吗？例如。

var sasToken = blob.GetSharedAccessSignature(new SharedAccessPolicy
    {
        Permissions = SharedAccessPermission.Read,
        SharedAccessExpiryTime = DateTime.UtcNow + TimeSpan.FromMinutes(30)
    }
);

如果您继续想使用旧的存储客户端库，您有以下几种选择：

1. 创建一个有效期不超过一小时的 SAS 令牌，如上所述。
2. 使用容器级访问策略创建 SAS 令牌。通过容器级访问策略，您将能够定义过期日期超过 1 小时的 SAS 令牌。欲了解更多相关信息，请点击此处：http://msdn.microsoft.com/en-us/library/windowsazure/ee393341.aspx http://msdn.microsoft.com/en-us/library/windowsazure/ee393341.aspx

如果您使用新的存储客户端库，您将能够定义更长的持续时间令牌，而无需使用容器访问策略。然而，两个版本的库之间存在很多差异，从旧版本迁移到新版本并非易事。几天前我写了一篇关于将代码从旧版本迁移到新版本的博客文章。你可以在这里阅读它：http://gauravmantri.com/tag/storage-client-library/ http://gauravmantri.com/tag/storage-client-library/。最后，我写了一篇关于 SAS 的博客文章，您可以在这里阅读：http://gauravmantri.com/2013/02/13/revisiting-windows-azure-shared-access-signature/ http://gauravmantri.com/2013/02/13/revisiting-windows-azure-shared-access-signature/.