edit-icon download-icon

バックエンド署名のデモ

最終更新日: Sep 03, 2018

API Gateway には、バックエンドの HTTP サービス署名認証機能があります。 バックエンド署名を有効化するには、署名鍵を作成し、該当する API に鍵をバインドする必要があります。( 鍵は適切に保管します。 API Gateway は、鍵のセキュリティを保証するために鍵を暗号化して格納します。) バックエンド署名が有効化されると、API Gateway は署名情報をバックエンド HTTP サービス宛てのリクエストに追加します。 バックエンド HTTP サービスは、API Gateway の署名文字列を読み取り、受信したリクエストに対してローカル署名計算を実行して、API Gateway 署名とローカル署名結果が一致するかどうかをチェックします。

定義したすべてのパラメーターが署名に付加されます。例えば:入力パラメーター、定義済みのシステム パラメーターおよび API Gateway システム パラメーター(CaClientIp など)

バックエンドサービスはVPCであり、VPC環境でAPIを公開する場合、セキュアな通信経路を使用するため、バックエンド署名の必要がありません。

API Gateway の署名を読み取る方法

  • API Gateway の計算した署名をリクエストの Header に格納します。 Header名は X-Ca-Signature です。

バックエンド HTTP サービスで署名を追加する方法

署名計算のデモ(Java)の詳細については、https://github.com/aliyun/api-gateway-demo-sign-backend-javaをご参照ください。

署名の計算方法は次のとおりです。

署名の付加に関連するデータを編成

  1. String stringToSign=
  2. HTTPMethod + "\n" + // HTTP Header はすべて大文字にします。
  3. Content-MD5 + "\n" + // Content-MD5 が空であるかを確認します。空であれば改行「\n」をつけます。
  4. Headers + // Headers が空であれば、「\n」は不要です。空でない Headers には「\n」が含まれます。詳細は、以下の編成方法をご参照ください。
  5. Url

署名の計算

  1. Mac hmacSha256 = Mac.getInstance("HmacSHA256");
  2. byte[] keyBytes = secret.getBytes("UTF-8");
  3. hmacSha256.init(new SecretKeySpec(keyBytes, 0, keyBytes.length, "HmacSHA256"));
  4. String sign = new String(Base64.encodeBase64(Sha256.doFinal(stringToSign.getBytes("UTF-8")),"UTF-8"));

secret は、API にバインドされている秘密鍵です。

説明

Content-MD5

Content-MD5 は Body の MD5 値を示します。 MD5 は、HTTPMethod が PUT または POST で、Body が Form でない場合にのみ計算されます。 計算方法は次のとおりです。

  1. String content-MD5 = Base64.encodeBase64(MD5(bodyStream.getbytes("UTF-8")));

Header

Header は、署名計算に関連する Header の Key および Value を示します。 署名の計算に関連するすべての Header の Key をリクエストの Header から読み取ります。 Key は X-Ca-Proxy-Signature-Headers です。 複数の Key はカンマで区切ります。

Header の編成方法

署名計算に関連するすべての Header の Key を辞書順にソートし、Header の Key のすべての大文字を小文字に変換し、次の方法で鍵を連結します。

  1. String headers =
  2. HeaderKey1.toLowerCase() + ":" + HeaderValue1 + "\n"\+
  3. HeaderKey2.toLowerCase() + ":" + HeaderValue2 + "\n"\+
  4. ...
  5. HeaderKeyN.toLowerCase() + ":" + HeaderValueN + "\n"

URL

URL は、Path + Query + Body の Form パラメーターを示します。 編成方法は次のとおりです。Query または Form が空でない場合は、? を追加し、Query+Form の鍵を辞書順にソートし、次の方法で結合します。 Query または Form が空の場合、URL は Path と同じになります。

  1. String url =
  2. Path +
  3. "?" +
  4. Key1 + "=" + Value1 +
  5. "&" + Key2 + "=" + Value2 +
  6. ...
  7. "&" + KeyN + "=" + ValueN

Query または Form には複数の値がある場合があることにご注意ください。 複数の値がある場合は、署名計算には最初の値を使用します。

デバッグ モード

バックエンドの署名に簡単にアクセスおよびデバッグするには、デバッグ モードを有効化します。 デバッグ手順は次のとおりです。

  1. API Gateway 宛のリクエストの Header X-Ca-Request-Mode = debug を追加します。

  2. 改行は HTTP Header で許可されず、「|」に置き換えられるため、バックエンドサービスは Header 内の X-Ca-Proxy-Signature-String-To-Sign のみを読み取ります。

注意:X-Ca-Proxy-Signature-String-To-Sign は、バックエンドの署名計算には関係しません。

タイムスタンプの認証

バックエンドがリクエストのタイムスタンプを認証すると、システム パラメーター CaRequestHandleTime は API 定義で選択可能で、その値は API Gateway がリクエストを受け取ったグリニッジ標準時です。