本文档旨在帮助开发者解决在使用 JavaScript 生成 Azure Blob 存储的共享访问签名 (SAS) 令牌时遇到的签名不匹配问题。通过本文,你将了解如何正确构建签名字符串,并生成有效的 SAS 令牌,从而成功访问 Azure Blob 存储资源。
理解 Azure SAS 令牌
Azure 共享访问签名 (SAS) 令牌是一种安全地委托对 Azure 存储资源的访问权限的机制。它允许你授予对特定资源的有限访问权限,而无需共享你的存储帐户密钥。SAS 令牌包含访问资源所需的全部信息,包括权限、有效期和签名。
签名不匹配问题分析
当你在使用 SAS 令牌访问 Azure Blob 存储资源时,如果遇到 "Signature did not match" 错误,这通常意味着生成的 SAS 令牌的签名与 Azure 存储服务计算的签名不一致。 这可能是由于以下原因造成的:
- 签名字符串构建错误: 签名字符串的格式必须完全符合 Azure 存储服务的预期。任何细微的差异,例如换行符、空格或字符编码错误,都会导致签名不匹配。
- Canonicalized Resource 错误: Canonicalized Resource 部分必须正确表示要访问的资源。对于 Blob 存储,它应该以 /blob 开头,后跟帐户名称和资源路径。
- 权限和资源类型不匹配: SAS 令牌的权限 (sp) 和资源类型 (sr) 必须与你实际要执行的操作和访问的资源类型相匹配。
- 存储帐户密钥错误: 用于生成签名的存储帐户密钥必须是正确的。
- 时间同步问题: 客户端和服务器的时间差异过大也可能导致签名验证失败。
解决方案:正确生成 SAS 令牌
以下是一个使用 JavaScript 生成 Azure Blob 存储 SAS 令牌的示例代码,并详细解释了关键步骤:
var CryptoJS = require("crypto-js");
var blobAccount = 'YOUR_ACCOUNT_NAME'; // 替换为你的存储帐户名称
var blobContainer = 'YOUR_CONTAINER_NAME/YOUR_FILE_PATH'; // 替换为你的容器名称和文件路径
var storageAccountKey = 'YOUR_ACCOUNT_KEY'; // 替换为你的存储帐户密钥
// 计算过期时间
var currentDate = new Date();
var expiration = new Date(currentDate.getTime() + (24 * 60 * 60 * 1000)); // 设置为 24 小时后过期
var st = currentDate.toISOString().slice(0, 19) + 'Z'; // 开始时间 (UTC)
var se = expiration.toISOString().slice(0, 19) + 'Z'; // 结束时间 (UTC)
var sv = '2018-11-09'; // 存储服务版本
var sp = 'r'; // 权限 (read)
var sr = 'c'; // 资源类型 (container)
// 构建 Canonicalized Resource
var canonicalizedResource = "/blob/" + blobAccount + "/" + blobContainer;
// 构建签名字符串
var stringToSign = sp + '\n' +
st + '\n' +
se + '\n' +
canonicalizedResource + '\n' +
sv + '\n' +
sr + '\n' +
'\n' + '\n' + '\n' + '\n' + '\n' + '\n' + '\n';
// 计算签名
var signature = CryptoJS.HmacSHA256(stringToSign, CryptoJS.enc.Base64.parse(storageAccountKey)).toString(CryptoJS.enc.Base64);
// 构建 SAS 令牌
var sasToken = "sig=" + encodeURIComponent(signature) +
"&st=" + st.replaceAll(':', '%3A') +
"&se=" + se.replaceAll(':', '%3A') +
"&sv=" + sv +
"&sp=" + sp +
"&sr=" + sr;
// 构建完整的 URL
var url = "https://" + blobAccount + ".blob.core.windows.net/" + blobContainer + "?" + sasToken;
console.log("SAS Token:", sasToken);
console.log("URL:", url);代码解释:
- 引入 CryptoJS 库: 用于计算 HMAC-SHA256 签名。
- 设置变量: 替换 YOUR_ACCOUNT_NAME,YOUR_CONTAINER_NAME/YOUR_FILE_PATH 和 YOUR_ACCOUNT_KEY 为你的实际值。
- 计算过期时间: 设置 SAS 令牌的过期时间。建议使用相对较短的过期时间,以提高安全性。
- 构建 Canonicalized Resource: 这部分非常重要。对于访问 Blob 容器,必须以 /blob/ 开头。 如果访问的是Blob,则路径应包含Blob名称。
- 构建签名字符串: 按照 Azure 存储服务的规定格式构建签名字符串。 确保换行符 (\n) 和顺序正确。
- 计算签名: 使用 CryptoJS 库的 HmacSHA256 函数,使用存储帐户密钥对签名字符串进行哈希计算。
- 构建 SAS 令牌: 将签名和其他参数 (st, se, sv, sp, sr) 组合成 SAS 令牌字符串。
- 构建完整的 URL: 将 SAS 令牌附加到 Blob 存储资源的 URL。
关键注意事项:
-
资源类型 (sr):
- b 表示 Blob。
- c 表示 Container。
- 请根据实际访问的资源类型设置 sr 的值。
- 时间格式: st 和 se 必须使用 UTC 时间,并且格式为 YYYY-MM-DDTHH:mm:ssZ。
- URL 编码: 使用 encodeURIComponent 对签名进行编码,并使用 replaceAll(':', '%3A') 对时间字符串中的冒号进行编码。
- 存储服务版本 (sv): 建议使用较新的存储服务版本,以获得更好的安全性和功能。
- 安全性: 永远不要将存储帐户密钥硬编码到代码中。 使用更安全的方法来管理和访问密钥,例如 Azure Key Vault。
调试 SAS 令牌问题
如果仍然遇到签名不匹配问题,可以尝试以下调试步骤:
- 检查 Canonicalized Resource: 确保 Canonicalized Resource 的格式正确,并且与你要访问的资源类型匹配。
- 检查签名字符串: 仔细检查签名字符串的每个部分,确保顺序和格式正确。可以使用在线工具或调试器来检查字符串的内容。
- 比较客户端和服务端签名: 在错误消息中,Azure 存储服务会返回服务端计算的签名字符串。 将客户端生成的签名字符串与服务端生成的签名字符串进行比较,找出差异。
- 检查时间同步: 确保客户端和服务器的时间同步。 如果时间差异过大,可能会导致签名验证失败。
- 使用 Azure 存储资源管理器: Azure 存储资源管理器可以帮助你生成 SAS 令牌,并验证其有效性。
总结
生成正确的 Azure Blob 存储 SAS 令牌需要仔细构建签名字符串,并确保所有参数都正确设置。 通过理解 SAS 令牌的工作原理,并遵循本文档中的步骤,你可以成功生成有效的 SAS 令牌,并安全地访问 Azure Blob 存储资源。 记住,安全性至关重要,请务必采取适当的措施来保护你的存储帐户密钥。
