目录
1、apisix的hmac认证Authorization头信息
apisix的hmac-auth认证,介绍可以看官方文档
hmac-auth | Apache APISIX® -- Cloud-Native API Gateway
照着官方文档,发现生成的签证根本调不通,所以研究了一下hmac-auth的生成源码,下面记录一下apisix的hmac需要怎么传参
1、apisix的hmac认证Authorization头信息
1.1hmac认证Authorization内容:
Signature signature="{具体签名}", keyId="{hmac的key}", algorithm="{hmac的算法}", headers="{需要生成签证的请求头}"
生成结果如下:
Signature signature="PpSL9rq26QtITXh33NhUpBJkNiskkkEDKKzFYqKKIC4=", keyId="a0f4cafbe86a43d5bcfdb7e97f32215b", algorithm="hmac-sha256", headers="date"
1.2参数介绍
algorithm:hmac支持的算法。具体可以看源码或者文档,只有几种,下面都是用的默认的算法HmacSHA256
headers:是说生成签名需要用的头信息,header里面的顺序也影响签名,具体签名生成见下文。下面介绍几个可能常用的header头。下面只是常用参数,还有一些别的head参数。验证了一下,不支持request-body这种不规范的
headers="date @request-target"
date: GMT格式日期。 一般是搭配签证过期窗口使用的
@request-target:是一个特殊的字段,通常用于 HTTP 请求的签名生成。它表示请求的目标 URI(即请求的路径和查询参数),而不是请求头中的其他字段,可以理解成具有含义的常量,经常会用它判断逻辑
1.3 post请求参数参与校验
如果是post请求,对 body 做签名校验,新建路由时,设置属性
validate_request_body 设置为true。
请求的时候,请求头需要参加参数digest
如果是get请求,也可以设置这个参数,但是digest参与计算的body就是空字符串
2、signature的lua生成源码
hmac-auth.lua文件,在验证的时候加了一下core.log.warn打印日志,获取一些中间结果
local function generate_signature(ctx, secret_key, params)
local uri = ctx.var.request_uri
local request_method = core.request.get_method()
if uri == "" then
uri = "/"
end
local signing_string_items = {
params.keyId,
}
if params.headers then
for _, h in ipairs(params.headers) do
local canonical_header = core.request.header(ctx, h)
if not canonical_header then
if h == "@request-target" then
local request_target = request_method .. " " .. uri
core.table.insert(signing_string_items, request_target)
core.log.warn("canonical_header name:", core.json.delay_encode(h))
core.log.warn("canonical_header value: ",
core.json.delay_encode(request_target))
end
else
core.table.insert(signing_string_items,
h .. ": " .. canonical_header)
core.log.warn("canonical_header name1:", core.json.delay_encode(h))
core.log.warn("canonical_header value1: ",
core.json.delay_encode(canonical_header))
end
end
end
local signing_string = core.table.concat(signing_string_items, "\n") .. "\n"
core.log.warn("======signing_string签证:", signing_string)
return hmac_funcs[params.algorithm](secret_key, signing_string)
end
可以看出,如果请求头有@request-target,生成签证会用到uri和request_method,否则是不会用到的
(1)如果头没有@request-target,例如headers="date"
如果是get请求,那生成签证,就只需要keyId+"\n"+"date: "+具体GMT时间+"\n"
(2) 如果头有@request-target,例如headers="date @request-target"
如果是get请求,那生成签证,就要keyId+"\n"+"date: "+具体GMT时间+"\n"+request_method+" "+uri
3、java生成签证的简单示例
@Slf4j
public class HmacUtils {
/***
* 获取签证信息
* @return String 返回值,message的生成规则和顺序都不是固定的,是根据header变化的
**/
public static String getSignature(String key,String hmacSecret) throws Exception {
String dateStr = getCurrentGmt();
//key和时间 "a0f4cafbe86a43d5bcfdb7e97f32215b\ndate: Tue, 24 Dec 2024 12:27:55 GMT\n";
// headers="date"
String message = key +"\n"+"date: "+dateStr+"\n";
//如果headers="date @request-target"
//TODO message的生成规则和顺序都不是固定的,是根据header变化的
message+=
"GET /dapi/v1.0/ssApi/getDataForGet?query=%7B%22pageIndex%22%3A1%2C%22pageSize%22%3A10%2C" +
"%22apiTestToken%22%3A%2202024121716460709700000101001349%22%2C%22dz%22%3A%22%2Fdcpyo" +
"%2FPRODUCTScxfw_4090%22%2C%22list%22%3A%5B%7B%22bm%22%3A%22PRODUCT_NAME%22%2C%22jtz%22%3A" +
"%22RTX5060%22%7D%5D%2C%22apiId%22%3A%2202024112711241051600000101660374%22%7D&t=1734425245421\n" ;
//获取签证
return generateHmacSha256Base64(hmacSecret, message);
}
/***
* Hmac生成签证的base64工具
* @param message
* @return String 返回值
**/
public static String generateHmacSha256Base64(String hmacSecret, String message) throws Exception {
// 创建 HMAC-SHA256 实例
Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
SecretKeySpec secret_key = new SecretKeySpec(hmacSecret.getBytes("UTF-8"), "HmacSHA256");
sha256_HMAC.init(secret_key);
// 计算 HMAC 值
byte[] hmacBytes = sha256_HMAC.doFinal(message.getBytes("UTF-8"));
// 进行 Base64 编码
return Base64.getEncoder().encodeToString(hmacBytes);
}
public static String getCurrentGmt() {
Date date = new Date();
// Wed, 25 Dec 2024 01:50:59 GMT
String form = "E, dd MMM yyyy HH:mm:ss";
Locale locale = Locale.ENGLISH;
SimpleDateFormat sdf = new SimpleDateFormat(form, locale);
sdf.setTimeZone(TimeZone.getTimeZone("GMT"));
String gmtTime = sdf.format(date) + " GMT";
// 输出GMT时间字符串
log.info(gmtTime);
return gmtTime;
}
/***
* Hmac生成body的digest
* @return String 返回值
**/
public static String generateDigest(String body) throws Exception {
//获取算法实例
// 创建 MessageDigest 实例,指定算法为 SHA-256
MessageDigest digest = MessageDigest.getInstance("SHA-256");
// 更新数据
digest.update(body.getBytes());
// 计算哈希值
byte[] hashBytes = digest.digest();
// 将二进制哈希值转换为 Base64 编码字符串
String base64Hash = Base64.getEncoder().encodeToString(hashBytes);
// 进行 Base64 编码
return "SHA-256="+base64Hash;
}
public static void main(String[] args) throws Exception {
String key = "2e06116d05d6399c90c8a441942fb113";
String hmacSecret = "005B192C781AEB9F641BC71DC6C63A43245E7ABBD";
String signature = getSignature(key,hmacSecret);
log.info(signature);
//调用postman的请求参数示例,Authorization格式如下:
// Signature signature="PpSL9rq26QtITXh33NhUpBJkNiskkkEDKKzFYqKKIC4=", keyId="a0f4cafbe86a43d5bcfdb7e97f32215b", algorithm="hmac-sha256", headers="request-line date request-body"
String body = "{\r\n \"pageIndex\": 1,\r\n \"pageSize\": 10,\r\n \"apiTestToken\": " +
"\"02025011514082308600000101001471\",\r\n \"dz\": \"/lldnm/testpost\",\r\n \"list\": [\r\n {\r\n \"bm\": \"DJXH\",\r\n \"jtz\": \"12441400009983399322\"\r\n }\r\n ],\r\n \"apiId\": \"02024122516325458700000101660567\"\r\n}";
log.info(generateDigest(body));
//如果是get请求,body就是空字符串
log.info(generateDigest(""));
}
4、postman调用如下
get请求
post请求如果加了body验证
