问题描述
我正在尝试使用python从http://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-post-example.html生成相同的签名,
DateKey = hmac.new(b'AWS4wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY', b'20151229', hashlib.sha256).digest()
DateRegionKey = hmac.new(DateKey, b'us-east-1', hashlib.sha256).digest()
DateRegionServiceKey = hmac.new(DateRegionKey, b's3', hashlib.sha256).digest()
SigningKey = hmac.new(DateRegionServiceKey, b'aws4_request', hashlib.sha256).digest()
signature = hmac.new(other_policy, SigningKey, hashlib.sha256).hexdigest()
但我的签名是cb0b0ec487fd5e01382c9c3b6b6a6dfa170da312ddab58a4b18869e7413951be,而预期的签名是46503978d3596de22955b4b18d6dfb1d54e8c5958727d5bdcd02cc1119c60fc9
我哪里做错了?
注意:
other_policy = b'''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'''
来自http://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-post-example.html
推荐答案
代码中的错误
生成签名密钥的代码看起来很正常。但是,当您生成签名时,参数会被调换。伪代码为:
Hex(HMAC-SHA256(SigningKey, StringToSign))
SO而不是
signature = hmac.new(other_policy, SigningKey, hashlib.sha256).hexdigest()
您应该有
signature = hmac.new(SigningKey, other_policy, hashlib.sha256).hexdigest()
还是错了吗?
这将生成以下签名,尽管有Amazon文档,但我认为提供的Base64字符串签名是正确的:
8afdbf4008c03f22c2cd3cdb72e4afbb1f6a588f3255ac628749a66d7f09699e
那么为什么亚马逊说签名应该是465039...c60fc9??
很抱歉地说,我不知道。我怀疑文档实际上可能不准确,无论是关于签名值,还是关于用于生成签名值的输入参数值(密钥、日期、地区、服务、要签名的字符串)。
我确实觉得我建议这样做有点冒险,但同时,我从经验中知道,并不是每一篇在线技术文档都是100%准确的(即使是由可靠的来源制作的)。
无论我如何尝试,都无法复制此签名。我希望看到成功生成此哈希的答案。
证据
这里实际上只有两件事:
计算签名密钥。 将其与"要签名的字符串"一起传递给哈希函数,以生成签名。 您的代码使用"Deriving the Signing Key with Other Languages" here下的示例中的参数生成预期的签名密钥。这表明您计算签名密钥是正确的。Python代码here。您的代码在使用this example中的参数时也会生成预期的签名。这表明您正在计算正确的签名密钥和正确的签名。Python代码here。
通过一些现有的Python代码(基于this)运行您问题中的参数也会产生相同的8afdb...9699e签名。
我还抛出了java signing code into an existing spring boot application,它也为您的输入参数生成了相同的8afdb...9699e签名。
要尝试什么?
我建议您假设您的签名代码是正确的,而此特定页面上的AWS文档是错误的。毕竟,您的代码至少与其他两个AWS示例一起运行得很好。
使用您的凭据、您的存储桶策略、您的地区、当前日期等签署实际请求。
然后发布示例表单,并查看它是否正常工作。如果不起作用,您可以使用从表单POST中得到的错误来更新问题。
更新(2018年7月15日)
AWS已更新其文档,现在this page包含正确的签名。出于历史目的,错误版本can be viewed here。有趣的是,Way Back机器显示该页面至少在2017年6月23日之前是正确的。到7月14日,它已更改为错误的签名,并且至少在2017年12月19日(超过5个月!)之前一直保持错误。