纯shell实现腾讯云APIv3签名及访问

腾讯云 API 会对每个请求进行身份验证,用户需要使用安全凭证,经过特定的步骤对请求进行签名(Signature),每个请求都需要在公共参数中指定该签名结果并以指定的方式和格式发送请求。

新版签名v3计算过程非常复杂,读者朋友可以参考官方文档签名方法v3一节。文档中提供了多种常见服务端语言的签名代码,但是并没有shell版本,这就导致一些开源项目(如 acme.shdnspod-shell)无法使用腾讯新版接口交互数据。

实现签名算法

经过一夜的试错,最终完成了该签名的shell实现。其中难点是sha256hmac_sha256加密过程中对换行和二进制密钥的处理。

  • 这里处理换行不使用echo -e的原因是其不能兼容POSIX环境,且会在末尾添加一个换行,所以使用printf来替代。
  • 官方示例中四次hmac_sha256的入参和返回值中有二进制、ASCII和HEX字符串多种类型的数据,在shell中处理不便、且容易出错。所以我均转为使用HEX字符串完成输入输出操作,以解决此问题。

此签名实现使用了opensslprintfsed处理加解密信息,兼容POSIX环境。示例代码使用curl请求接口,若系统版本非常老旧(比如CentOS7),请注意更新ca证书链(处于安全原因,不推荐忽略证书验证)。

shell 复制代码
###############################################
# shell client for tencent cloud api v3
#
# @author: rehiy
# @url: https://www.rehiy.com/post/534/
###############################################

qcloud_sha256() {
    printf "%b" "$@" | openssl dgst -sha256 -hex | sed 's/^.* //'
}

qcloud_hmac_sha256() {
    k=$1
    shift
    printf "%b" "$@" | openssl dgst -sha256 -hmac "$k" | sed 's/^.* //'
}

qcloud_hmac_sha256_hexkey() {
    k=$1
    shift
    printf "%b" "$@" | openssl dgst -sha256 -mac HMAC -macopt "hexkey:$k" | sed 's/^.* //'
}

qcloud_signature_v3() {
    service=$1
    action=$(echo $2 | tr '[:upper:]' '[:lower:]')
    payload=${3:-'{}'}
    timestamp=${4:-$(date +%s)}

    domain="$service.tencentcloudapi.com"
    secretId=${QCLOUD_SECRET_ID:-'tencent-cloud-secret-id'}
    secretKey=${QCLOUD_SECRET_KEY:-'tencent-cloud-secret-key'}

    algorithm='TC3-HMAC-SHA256'
    date=$(date -u -d "@$timestamp" +%Y-%m-%d 2>/dev/null)
    [ -z "$date" ] && date=$(date -u -r "$timestamp" +%Y-%m-%d)

    canonicalUri='/'
    canonicalQuery=''
    canonicalHeaders="content-type:application/json\nhost:$domain\nx-tc-action:$action\n"

    signedHeaders='content-type;host;x-tc-action'
    canonicalRequest="POST\n$canonicalUri\n$canonicalQuery\n$canonicalHeaders\n$signedHeaders\n$(qcloud_sha256 $payload)"

    credentialScope="$date/$service/tc3_request"
    stringToSign="$algorithm\n$timestamp\n$credentialScope\n$(qcloud_sha256 $canonicalRequest)"

    secretDate=$(qcloud_hmac_sha256 "TC3$secretKey" "$date")
    secretService=$(qcloud_hmac_sha256_hexkey "$secretDate" "$service")
    secretSigning=$(qcloud_hmac_sha256_hexkey "$secretService" 'tc3_request')
    signature=$(qcloud_hmac_sha256_hexkey "$secretSigning" "$stringToSign")

    echo "$algorithm Credential=$secretId/$credentialScope, SignedHeaders=$signedHeaders, Signature=$signature"
}

qcloud_api_request() {
    service=$1
    version=$2
    action=$3
    payload=${4:-'{}'}
    timestamp=${5:-$(date +%s)}

    token=$(qcloud_signature_v3 "$service" "$action" "$payload" "$timestamp")

    curl \
        -H "Host: $service.tencentcloudapi.com" \
        -H "Content-Type: application/json" \
        -H "Authorization: $token" \
        -H "X-TC-Version: $version" \
        -H "X-TC-Timestamp: $timestamp" \
        -H "X-TC-Language: zh-CN" \
        -H "X-TC-RequestClient: RehiyShellClient" \
        -H "X-TC-Action: $action" \
        -d "$payload" \
        "https://$service.tencentcloudapi.com/"
}

Linux 格式化时间戳使用 date=$(date -u -d "@$timestamp" +%Y-%m-%d) Macos 格式化时间戳使用 date=$(date -u -r "$timestamp" +%Y-%m-%d)

测试签名算法

这里设置了一组虚拟的密钥来测试,可以和官方API Explorer中的签名串生成互相印证。

shell 复制代码
export QCLOUD_SECRET_ID="sfsdfasdfasdfasdfsdfewsdfdddg"
export QCLOUD_SECRET_KEY="234wewer23weffddf232wefsfff2sf"
qcloud_signature_v3 cvm DescribeRegions '{}' 1693406195

输出结果如下:

text 复制代码
TC3-HMAC-SHA256 Credential=sfsdfasdfasdfasdfsdfewsdfdddg/2023-08-30/cvm/tc3_request, SignedHeaders=content-type;host;x-tc-action, Signature=b36086cea43ac1a8025017535821a7240cd0895f5e768193e5b0952e2e56bc8b

测试接口请求

这里设置了一组虚拟的密钥来测试,将获得cvm服务器可用地域信息。

注意:传入json参数,需要使用引号将其作为单个参数传入,否则将无法正确计算签名。

shell 复制代码
export QCLOUD_SECRET_ID="sfsdfasdfasdfasdfsdfewsdfdddg"
export QCLOUD_SECRET_KEY="234wewer23weffddf232wefsfff2sf"
qcloud_api_request cvm 2017-03-12 DescribeRegions '{}'

附录

  • API Explorer 签名截图

须知:本文同步自若海の技术写真,如有错漏请到原文下留言反馈。

相关推荐
Tiandaren36 分钟前
Selenium 4 教程:自动化 WebDriver 管理与 Cookie 提取 || 用于解决chromedriver版本不匹配问题
selenium·测试工具·算法·自动化
岁忧2 小时前
(LeetCode 面试经典 150 题 ) 11. 盛最多水的容器 (贪心+双指针)
java·c++·算法·leetcode·面试·go
chao_7892 小时前
二分查找篇——搜索旋转排序数组【LeetCode】两次二分查找
开发语言·数据结构·python·算法·leetcode
Nejosi_念旧2 小时前
解读 Go 中的 constraints包
后端·golang·go
风无雨2 小时前
GO 启动 简单服务
开发语言·后端·golang
小明的小名叫小明2 小时前
Go从入门到精通(19)-协程(goroutine)与通道(channel)
后端·golang
斯普信专业组2 小时前
Go语言包管理完全指南:从基础到最佳实践
开发语言·后端·golang
秋说4 小时前
【PTA数据结构 | C语言版】一元多项式求导
c语言·数据结构·算法
Maybyy4 小时前
力扣61.旋转链表
算法·leetcode·链表
一只叫煤球的猫4 小时前
【🤣离谱整活】我写了一篇程序员掉进 Java 异世界的短篇小说
java·后端·程序员