Azure Blob 存储 SAS 令牌生成及签名错误排查指南

本文旨在帮助开发者理解如何使用 JavaScript 生成 Azure Blob 存储的共享访问签名 (SAS) 令牌，并解决常见的签名不匹配错误。通过本文，你将了解 SAS 令牌的构成、签名字符串的生成方法，以及如何避免常见的错误配置，从而成功生成可用的 SAS URL。

理解 Azure Blob 存储 SAS 令牌

共享访问签名 (SAS) 令牌是一种安全地授予对 Azure 存储资源的有限访问权限的机制。它允许你控制谁可以访问你的数据，以及他们可以访问多长时间。SAS 令牌包含所有必要的信息，以便授权请求，而无需共享你的帐户密钥。

SAS 令牌主要用于以下场景：

• 允许客户端直接上传文件到 Blob 存储，而无需通过你的服务器。
• 授予对 Blob 存储中特定文件的只读访问权限。
• 限制对存储资源的访问，仅在特定时间段内有效。

生成 SAS 令牌的关键步骤

生成 SAS 令牌主要涉及以下几个步骤：

1. 构建签名字符串： 这是最关键的一步，它将用于生成签名。签名字符串包含有关请求的信息，例如权限、开始时间和结束时间、规范化资源等。
2. 使用存储帐户密钥对签名字符串进行哈希处理： 使用 HMAC-SHA256 算法和你的存储帐户密钥对签名字符串进行哈希处理。
3. 对哈希值进行 Base64 编码： 将哈希结果进行 Base64 编码，得到签名。
4. 构建 SAS 令牌： 将签名以及其他参数（例如版本、权限、资源类型等）添加到 URL 中。

解决 "Signature did not match" 错误

"Signature did not match" 错误表明生成的签名与 Azure 存储服务计算出的签名不匹配。这通常是由于签名字符串构建不正确引起的。以下是一些常见的导致签名不匹配的原因以及解决方法：

1. 规范化资源字符串错误： 确保规范化资源字符串以服务类型（blob）开头，并包含帐户名称和容器/Blob 的完整路径。

   正确的格式应为：/blob//ainer_name>/

   错误示例：/ACCOUNTNAME/CONTAINERNAME/PATH_TO_FILE

   正确示例：/blob/ACCOUNTNAME/CONTAINERNAME/PATH_TO_FILE

   

   Beautiful.ai

   AI在线创建幻灯片

   下载

2. 资源类型 (sr) 参数不正确： sr 参数指定了签名资源的类型。对于 Blob 容器，应设置为 c。对于单个 Blob，应设置为 b。确保根据你的使用场景设置正确的 sr 值。

   // 对于 Blob 容器
   var sr = 'c';
   
   // 对于单个 Blob
   // var sr = 'b';

3. 签名字符串的换行符： 签名字符串中的换行符必须是 \n。

4. 时间格式不正确： 开始时间 (st) 和结束时间 (se) 必须采用 ISO 8601 UTC 格式。

5. 编码问题： 确保对签名进行 URL 编码。

示例代码（JavaScript）

以下是一个使用 JavaScript 和 crypto-js 库生成 SAS 令牌的示例代码：

var CryptoJS = require("crypto-js");

var blobAccount = 'YOUR_ACCOUNT_NAME';
var blobContainer = 'YOUR_CONTAINER_NAME/YOUR_BLOB_PATH';
var storageAccountKey = 'YOUR_STORAGE_ACCOUNT_KEY';

// 计算过期时间
var currentDate = new Date();
var expiration = new Date(currentDate.getTime() + (100 * 365 * 24 * 60 * 60 * 1000));

var st = currentDate.toISOString().slice(0,19)+'Z';
var se = expiration.toISOString().slice(0,19)+'Z';
var sv = '2018-11-09';
var sp = 'r'; // 读权限
var sr = 'c'; // 资源类型：容器

var canonicalizedResource = "/blob/"+blobAccount+"/"+blobContainer;
var stringToSign = sp+'\n'+st+'\n'+se+'\n'+canonicalizedResource+'\n'+sv+'\n'+sr+'\n'+'\n'+'\n'+'\n'+'\n'+'\n'+'\n'+'\n';
var signature = CryptoJS.HmacSHA256(stringToSign, CryptoJS.enc.Base64.parse(storageAccountKey)).toString(CryptoJS.enc.Base64);
var sasToken = encodeURIComponent(signature)+"&st="+st.replaceAll(':','%3A')+"&se="+se.replaceAll(':','%3A')+"&sv="+sv+"&sp="+sp+"&sr="+sr;

var url = "https://"+blobAccount+".blob.core.windows.net/"+blobContainer+"?"+"sig="+sasToken;

console.log(sasToken);
console.log(url);

注意事项：

• 替换代码中的 YOUR_ACCOUNT_NAME、YOUR_CONTAINER_NAME/YOUR_BLOB_PATH 和 YOUR_STORAGE_ACCOUNT_KEY 为你的实际值。
• 根据你的需求修改权限 (sp) 和资源类型 (sr)。
• 建议使用环境变量或配置文件安全地存储你的存储帐户密钥，而不是直接在代码中硬编码。
• 请注意 sv（服务版本）参数，确保与你的 Azure 存储帐户兼容。

总结

生成 Azure Blob 存储的 SAS 令牌需要仔细构建签名字符串并正确设置参数。通过理解 SAS 令牌的构成，并遵循本文提供的步骤，你可以避免常见的错误，并成功生成可用的 SAS URL。在遇到 "Signature did not match" 错误时，请仔细检查规范化资源字符串、资源类型参数和时间格式，以确保它们正确无误。 通过示例代码，你可以快速上手，并根据你的实际需求进行调整。