纯shell实现腾讯云APIv3签名及访问

腾讯云 API 会对每个请求进行身份验证,用户需要使用安全凭证,经过特定的步骤对请求进行签名(Signature),每个请求都需要在公共参数中指定该签名结果并以指定的方式和格式发送请求。

新版签名v3计算过程非常复杂,读者朋友可以参考官方文档签名方法v3一节。文档中提供了多种常见服务端语言的签名代码,但是并没有shell版本,这就导致一些开源项目(如 acme.shdnspod-shell)无法使用腾讯新版接口交互数据。

实现签名算法

经过一夜的试错,最终完成了该签名的shell实现。其中难点是sha256hmac_sha256加密过程中对换行和二进制密钥的处理。

  • 这里处理换行不使用echo -e的原因是其不能兼容POSIX环境,且会在末尾添加一个换行,所以使用printf来替代。
  • 官方示例中四次hmac_sha256的入参和返回值中有二进制、ASCII和HEX字符串多种类型的数据,在shell中处理不便、且容易出错。所以我均转为使用HEX字符串完成输入输出操作,以解决此问题。

此签名实现使用了opensslprintfsed处理加解密信息,兼容POSIX环境。示例代码使用curl请求接口,若系统版本非常老旧(比如CentOS7),请注意更新ca证书链(处于安全原因,不推荐忽略证书验证)。

shell 复制代码
###############################################
# shell client for tencent cloud api v3
#
# @author: rehiy
# @url: https://www.rehiy.com/post/534/
###############################################

qcloud_sha256() {
    printf "%b" "$@" | openssl dgst -sha256 -hex | sed 's/^.* //'
}

qcloud_hmac_sha256() {
    k=$1
    shift
    printf "%b" "$@" | openssl dgst -sha256 -hmac "$k" | sed 's/^.* //'
}

qcloud_hmac_sha256_hexkey() {
    k=$1
    shift
    printf "%b" "$@" | openssl dgst -sha256 -mac HMAC -macopt "hexkey:$k" | sed 's/^.* //'
}

qcloud_signature_v3() {
    service=$1
    action=$(echo $2 | tr '[:upper:]' '[:lower:]')
    payload=${3:-'{}'}
    timestamp=${4:-$(date +%s)}

    domain="$service.tencentcloudapi.com"
    secretId=${QCLOUD_SECRET_ID:-'tencent-cloud-secret-id'}
    secretKey=${QCLOUD_SECRET_KEY:-'tencent-cloud-secret-key'}

    algorithm='TC3-HMAC-SHA256'
    date=$(date -u -d "@$timestamp" +%Y-%m-%d 2>/dev/null)
    [ -z "$date" ] && date=$(date -u -r "$timestamp" +%Y-%m-%d)

    canonicalUri='/'
    canonicalQuery=''
    canonicalHeaders="content-type:application/json\nhost:$domain\nx-tc-action:$action\n"

    signedHeaders='content-type;host;x-tc-action'
    canonicalRequest="POST\n$canonicalUri\n$canonicalQuery\n$canonicalHeaders\n$signedHeaders\n$(qcloud_sha256 $payload)"

    credentialScope="$date/$service/tc3_request"
    stringToSign="$algorithm\n$timestamp\n$credentialScope\n$(qcloud_sha256 $canonicalRequest)"

    secretDate=$(qcloud_hmac_sha256 "TC3$secretKey" "$date")
    secretService=$(qcloud_hmac_sha256_hexkey "$secretDate" "$service")
    secretSigning=$(qcloud_hmac_sha256_hexkey "$secretService" 'tc3_request')
    signature=$(qcloud_hmac_sha256_hexkey "$secretSigning" "$stringToSign")

    echo "$algorithm Credential=$secretId/$credentialScope, SignedHeaders=$signedHeaders, Signature=$signature"
}

qcloud_api_request() {
    service=$1
    version=$2
    action=$3
    payload=${4:-'{}'}
    timestamp=${5:-$(date +%s)}

    token=$(qcloud_signature_v3 "$service" "$action" "$payload" "$timestamp")

    curl \
        -H "Host: $service.tencentcloudapi.com" \
        -H "Content-Type: application/json" \
        -H "Authorization: $token" \
        -H "X-TC-Version: $version" \
        -H "X-TC-Timestamp: $timestamp" \
        -H "X-TC-Language: zh-CN" \
        -H "X-TC-RequestClient: RehiyShellClient" \
        -H "X-TC-Action: $action" \
        -d "$payload" \
        "https://$service.tencentcloudapi.com/"
}

Linux 格式化时间戳使用 date=$(date -u -d "@$timestamp" +%Y-%m-%d) Macos 格式化时间戳使用 date=$(date -u -r "$timestamp" +%Y-%m-%d)

测试签名算法

这里设置了一组虚拟的密钥来测试,可以和官方API Explorer中的签名串生成互相印证。

shell 复制代码
export QCLOUD_SECRET_ID="sfsdfasdfasdfasdfsdfewsdfdddg"
export QCLOUD_SECRET_KEY="234wewer23weffddf232wefsfff2sf"
qcloud_signature_v3 cvm DescribeRegions '{}' 1693406195

输出结果如下:

text 复制代码
TC3-HMAC-SHA256 Credential=sfsdfasdfasdfasdfsdfewsdfdddg/2023-08-30/cvm/tc3_request, SignedHeaders=content-type;host;x-tc-action, Signature=b36086cea43ac1a8025017535821a7240cd0895f5e768193e5b0952e2e56bc8b

测试接口请求

这里设置了一组虚拟的密钥来测试,将获得cvm服务器可用地域信息。

注意:传入json参数,需要使用引号将其作为单个参数传入,否则将无法正确计算签名。

shell 复制代码
export QCLOUD_SECRET_ID="sfsdfasdfasdfasdfsdfewsdfdddg"
export QCLOUD_SECRET_KEY="234wewer23weffddf232wefsfff2sf"
qcloud_api_request cvm 2017-03-12 DescribeRegions '{}'

附录

  • API Explorer 签名截图

须知:本文同步自若海の技术写真,如有错漏请到原文下留言反馈。

相关推荐
大葱白菜几秒前
Java Map 集合详解:从基础语法到实战应用,彻底掌握键值对数据结构
java·后端
小猪乔治爱打球6 分钟前
[Golang修仙之路] 算法专题:回溯(递归)
后端·面试
叶子爱分享12 分钟前
经典排序算法之归并排序(Merge Sort)
算法·排序算法
昵称为空C14 分钟前
SpringBoot数据存储时区选择,符合国际化和特定时区方案
spring boot·后端
珹洺18 分钟前
C++算法竞赛篇:DevC++ 如何进行debug调试
java·c++·算法
呆呆的小鳄鱼1 小时前
leetcode:冗余连接 II[并查集检查环][节点入度]
算法·leetcode·职场和发展
墨染点香1 小时前
LeetCode Hot100【6. Z 字形变换】
java·算法·leetcode
沧澜sincerely1 小时前
排序【各种题型+对应LeetCode习题练习】
算法·leetcode·排序算法
CQ_07121 小时前
自学力扣:最长连续序列
数据结构·算法·leetcode
弥彦_1 小时前
cf1925B&C
数据结构·算法