AWS SDK for Java 1.x 403问题解决方法和原因

tq10862025-03-01 11:40

问题表现

使用AWS SDK for Java 1.x访问S3,已经确认文件存在,且具有权限,仍然出现403 Forbidden应答。

解决方法

升级到AWS SDK for Java 2.x。

问题原因

AWS签名机制严格依赖请求的精确路径格式,任何URI的差异(如 ///%2F )都会导致签名校验失败。AWS SDK for Java 1.x版本中,当资源路径 resourcePath 以斜杠开头时(如 /foo/... ),与 endpoint 拼接后会产生双斜杠 // 。SDK内部会将其转义为 /%2F ,导致实际请求路径与签名计算的路径不一致,触发 SignatureDoesNotMatch 错误。

关键代码分析

在AWS SDK for Java 1.x版本中,当调用 httpRequestFactory.create(request, options) 方法时,URL的生成过程涉及路径拼接逻辑与双斜杠转义机制,具体流程如下:

复制代码 
@Override
   public HttpRequestBase create(final Request<?> request,
                                 final HttpClientSettings settings)
           throws
           FakeIOException {
       URI endpoint = request.getEndpoint();

       String uri;
       // skipAppendUriPath is set for APIs making requests with presigned urls. Otherwise
       // a slash will be appended at the end and the request will fail
       if (request.getOriginalRequest().getRequestClientOptions().isSkipAppendUriPath()) {
           uri = endpoint.toString();
       } else {
           /*
            * HttpClient cannot handle url in pattern of "http://host//path", so we
            * have to escape the double-slash between endpoint and resource-path
            * into "/%2F"
            */
           uri = SdkHttpUtils.appendUri(endpoint.toString(), request.getResourcePath(), true);
       }

       String encodedParams = SdkHttpUtils.encodeParameters(request);

       /*
        * For all non-POST requests, and any POST requests that already have a
        * payload, we put the encoded params directly in the URI, otherwise,
        * we'll put them in the POST request's payload.
        */
       boolean requestHasNoPayload = request.getContent() != null;
       boolean requestIsPost = request.getHttpMethod() == HttpMethodName.POST;
       boolean putParamsInUri = !requestIsPost || requestHasNoPayload;
       if (encodedParams != null && putParamsInUri) {
           uri += "?" + encodedParams;
       }

       final HttpRequestBase base = createApacheRequest(request, uri, encodedParams);
       addHeadersToRequest(base, request);
       addRequestConfig(base, request, settings);

       return base;
   }

假设原始请求参数为

复制代码 
Endpoint: http://127.0.0.1/mybucket
ResourcePath: /foo/bar/... (以斜杠开头)

SdkHttpUtils.appendUri()endpointresourcePath 拼接为:

复制代码 
http://127.0.0.1/mybucket//foo/bar/...

注意中间的 // 双斜杠。由于第三个参数 escapeDoubleSlash=true ,SDK会将双斜杠转义为 /%2F

复制代码 
http://172.24.152.73:80/mybucket/%2Ffoo/bar/...

生成的URI变为转义后的路径,而计算签名时使用的路径是未经转义的原始路径 /mybucket//foo/bar/... ,导致签名不匹配。

相关推荐
AI周红伟9 小时前
周红伟:《OpenClaw安全防控:OpenClaw++Skills智能体安全部署、实操和企业应用实操》
人工智能·阿里云·云计算·腾讯云·openclaw
电商API&Tina11 小时前
【电商API接口】开发者一站式电商API接入说明
大数据·数据库·人工智能·云计算·json
kyle~20 小时前
云端数据存储---阿里云OSS
阿里云·云计算
云算计21 小时前
给太空云计算提出10个问题
云计算
※※冰馨※※1 天前
【C++】通过 Git 访问阿里云 Codeup 仓库
git·阿里云·云计算
摇滚侠1 天前
JAVA 项目教程《苍穹外卖-番外篇-阿里云对象存储》,微信小程序项目,前后端分离,从开发到部署
阿里云·云计算
小仓桑2 天前
【Agent智能体项目实战一】阿里云通义千问兼容 OpenAI 接口实现 AI 对话
人工智能·阿里云·云计算·agent
AI周红伟2 天前
周红伟:豆包大模型的尽头是直播间,豆包开启AI购物内测 电商平台加码“一句话购物”
人工智能·阿里云·云计算·腾讯云·openclaw
威联通安全存储2 天前
某大型食品饮料企业:基于威联通 TS-h1290FX 的中央数据管控与合规实践
大数据·人工智能·云计算
大树882 天前
国产液冷产业链的突破:应对龙虾大模型等终端算力需求激增的倒逼效应
科技·ai·云计算
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09OpenClaw Control UI安全上下文访问配置10AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南