AWS Signature Version 4 (AWS4)

-

紀錄一下計算Signature的部分. 依序的步驟如下, 便可以計算出 signature.

1) canonical request

Canonical_Request =
  • HTTP_Request_Method + '\n'
  • Canonical_URI + '\n'
  • Canonical_Query_String + '\n'
  • Canonical_Headers + '\n'
  • Signed_Headers + '\n'
  • HexEncode(Hash(RequestPayload))
補充:
url & query的部分是需要url encoded, 範例如下:
Canonical_URI:
encoded => /asustor-test/s3/upload/%E4%BA%BA
original => /asustor-test/s3/upload/人)
Canonical_Query_String:
encoded => delimiter=%2F&prefix=s3%2Fupload%2Ftest%2F
original => delimiter=/&prefix=s3/upload/test/)

2) string to sign

StringToSign =
  • Algorithm + '\n'
  • RequestDate + '\n'
  • CredentialScope + '\n'
  • Hashed(Canonical_Request))

補充:
RequestDate為ISO8601 Basic format (YYYYMMDD'T'HHMMSS'Z')

3) signing key

這邊主要是把secret access key 和 CredentialScope結合起來計算出signing key.
(e.g. Credential Scope為20110909/us-east-1/iam/aws4_request)

  • kSecret = Your AWS Secret Access Key
  • kDate = HMAC("AWS4" + kSecret, Date)
  • kRegion = HMAC(kDate, Region)
  • kService = HMAC(kRegion, Service)
  • kSigning = HMAC(kService, "aws4_request")

4) signature

signature =
  • HexEncode(HMAC( kSigning , StringToSign ))

Example

import hashlib
import hmac

def create_canonical_form(canonical_paras):
    canonical_form = canonical_paras['http_method'] + '\n' +  canonical_paras['canonical_uri'] + '\n' +  canonical_paras['canonical_query'] + '\n' +  canonical_paras['canonical_headers'] + '\n' +  canonical_paras['canonical_signed'] + '\n' +  canonical_paras['hash_payload']
    return canonical_form

def stringtosign(algorithm, req_date, credential_scope, hash_canonical_form):
    stringtosignstr = algorithm + '\n' + req_date + '\n' +  credential_scope + '\n' + hash_canonical_form
    return stringtosignstr

def get_signing_key(secretkey, date, region, service, encryptedreq):
    ksecret = "AWS4%s" % (secretkey)
    kdate = hmac.new(ksecret.encode('utf-8'), date.encode('utf-8'), hashlib.sha256).digest()
    kregion = hmac.new(kdate, region.encode('utf-8'), hashlib.sha256).digest()
    kservice = hmac.new(kregion, service.encode('utf-8'), hashlib.sha256).digest()
    ksigning = hmac.new(kservice, encryptedreq.encode('utf-8'), hashlib.sha256).digest()
    return ksigning

def test_case():
    '''
    <= canonical form =>
    POST
    /

    content-type:application/x-www-form-urlencoded; charset=utf-8
    host:iam.amazonaws.com
    x-amz-date:20110909T233600Z

    content-type;host;x-amz-date
    b6359072c78d70ebee1e81adcbab4f01bf2c23245fa365ef83fe8f1f955085e2
    <= string to sign =>
    AWS4-HMAC-SHA256
    20110909T233600Z
    20110909/us-east-1/iam/aws4_request
    3511de7e95d28ecd39e9513b642aee07e54f4941150d8df8bf94b328ef7e55e2
    <= signature =>
    ced6826de92d2bdeed8f846f0bf508e8559e98e4b0199114b84c54174deb456c
    '''
    hashpaylod = hashlib.new('sha256')
    hashpaylod.update(b"Action=ListUsers&Version=2010-05-08")
    paras = { "http_method":"POST"
            , "canonical_uri":"/"
            , "canonical_query":""
            , "canonical_headers":"content-type:application/x-www-form-urlencoded; charset=utf-8\nhost:iam.amazonaws.com\nx-amz-date:20110909T233600Z\n"
            , "canonical_signed":"content-type;host;x-amz-date"
            , "hash_payload":(hashpaylod.hexdigest())}

    canonicalstr = create_canonical_form(paras)
    print("===canoncail form===\n{form}".format(form=canonicalstr))

    hashcanonicalform = hashlib.new('sha256')
    hashcanonicalform.update(canonicalstr.encode('utf-8'))
    szstrtosign = stringtosign("AWS4-HMAC-SHA256", "20110909T233600Z", "20110909/us-east-1/iam/aws4_request", hashcanonicalform.hexdigest())
    print("===string to sign===\n{strtosign}".format(strtosign=szstrtosign))

    signingkey = get_signing_key("wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY", "20110909", "us-east-1", "iam", "aws4_request")
    signature = hmac.new(signingkey, (szstrtosign).encode('utf-8'), hashlib.sha256)
    print("===signature===\n{signature}".format(signature=signature.hexdigest()))

if __name__ == '__main__':
    test_case()

Reference

留言

張貼留言

這個網誌中的熱門文章

yocto recipe : (1) 撰寫 recipe

-
此篇文章介紹如何透過 yocto 的 utilities 來產生 recipe. 而完成的 recipe 又如何加入到 image. yocto 相關工具介紹 有三個適用於 layer 與 recipe 相關的 utilities. bitbake-layers: 負責 (1) 建立 layer. (2) 修改 bblayers.conf. (3) 查看 layer 底下的 recipes recipetool: 用於建立一個 recipe 和新增/修改 recipe. 這邊 recipe 在 yocto 即是 xx.bb 或 xx.bbappend 檔案 devtool: 定位在開發測試上. devtool 會建立一個獨立的 workspace layer. 讓開發者於此建立/修改 recipe 與 patch source code. 在不修改原有設定下與現有 layers 進行整合測試. 完畢之後可以再透過 devtool 新增或更新到 layer 裡 利用 utilities 撰寫 recipe 的時候. 要確保所屬的 layer 是存在於 bblayer.conf. 不然執行 bitbake [recipe basename] 會找不到相關的 recipe. yocto 事前準備 以 core-image-miniaml recipe 為例子. core-image-miniaml 會產生系統所需的 image 相關檔案. 接著利用 bitbake-layers 建立自己的 layer 於 build 目錄底下. 再透過 bitbake-layers 把 layer 加入到 bblayers.conf 設定檔. [ yijyun@localhost poky ] $ . oe-init-build-env [ yijyun@localhost build ] $ bitbake core-image-minimal [ yijyun@localhost build ] $ bitbake-layers create-layer meta-layer [ yijyun@localhost build ] $ bitbake-layers add-
閱讀完整內容

yocto recipe : (2) 撰寫 bbappend

-
前言 xxx.bb 檔案是用來描述一個 recipe. 然而 xxx.bb 會因為 patch codes、新增 tasks、等等的因素修改. 這邊介紹如何使用 xxx.bbappend[1] 檔案. 以不修改 xxx.bb 的情況下擴充需求. 文章將以 patch codes 為例子, 並個別以 devtool 工具和手動的方式示範. bbapend 簡介 .bbappend 是擴充 .bb 的方式. 藉由 .bbappend 來新增 tasks、patch code、新增/修改變數等等諸此之類的事. 其名稱必須跟所要修改的相同, 而版本號則依據需求寫. 舉例: bb file 名稱: giflib_5.1.4.bb bbappend 名稱: giflib_5.1.4.bbappend 或 giflib_%.bbappend. %: 表示萬用字元 使用 .bbappend 的情況, 我個人認為有以下情況再使用 (1) 當 recipe 已存在 yocto 最基本的 layer, 不應隨便修改. 舉例: u-boot_2017.09.bb 存在於 yocto 的 meta layer (2) 某些 layers 會共用此 recipe 的情況下. 舉例: meta-raspberrypi 與 meta-ti 分別各自使用自己的 xserver-xf86-config_0.1.bbappend 來對 yocto meta layer 的 xserver-xf86-config_0.1.bb 做擴充修改. bbappend 範例 事前準備 用 giflib [4] 作為測試程式. 先下載 giflib-5.1.4.tar.bz2. 接著使用 bitbake-layer 建立 meta-custom layer, 再透過 recipetool 把產生的 giflib_5.1.4.bb 存放於此 layer. # 執行 oe-init-build-env 進行 yocto 編譯環境設定 [ yijyun@localhost poky ] $ . oe-init-build-env # 建立 3rd-pkgs, 並把 giflib 放至此 [ yijyun@localhost build ] $
閱讀完整內容

yocto recipe : (3) 使用 External Source 來編譯軟體

-
Yocto 有提供許多 fetch code 的方式[3], 大都是以抓取外網的方式. 雖然很齊全, 但是開發時候多少需要以本機上的 source code 作為來源進行編譯. 這邊就紀錄如何讓 yocto 直接抓取本機上的 source code 使用本機上的 source code 這邊介紹兩種方式. 使用硬碟上的 source code, 而不是透過 yocto fetch 去網路上抓取 (1) git fetcher: 基於 git fetcher, 僅修改 src_uri 參數, 就可以用本機上的 source code (2) external source: 基於 externalsrc class. 有兩種方式達成: (1) 於 recipe 直接新增 external source 變數 (2)於 local.conf 新增特定 recipe 的 external source 參數. 事前準備 於 build 目錄底下建立 3rd-pkgs. 把下載的 giflib 程式碼放置於此 [ yijyun@localhost build ] $ pwd /media/disk1-1/Github/poky/build [ yijyun@localhost build ] $ ls 3rd-pkgs/ giflib-5.1.4.tar.bz2 新增 meta-test 於 yocto. 並在此 meta-layer 底下新增 giflib 目錄. 存放之後的 bb files [ yijyun@localhost build ] $ bitbake-layers create-layer meta-test [ yijyun@localhost build ] $ bitbake-layers add-layer meta-test [ yijyun@localhost build ] $ mkdir meta-test/recipes-example/giflib git fetcher 使用 git fetcher 有兩個重點: src_uri 的 protocol 參數需要改為 file. S 的路徑要改為 S="
閱讀完整內容