oci签名必须用requests的auth参数,不可手动拼authorization头;需严格校验指纹格式、私钥格式、四参数初始化、显式传body字节及动态生成date头。
OCI 签名必须用 requests 的 auth 参数,不能手动拼 Authorization 头
OCI(Oracle Cloud Infrastructure)签名是基于 RFC 2617 的 HTTP Signature 方案,但有严格的时间戳、头白名单、body 摘要等要求。手动构造 Authorization 头极易出错——比如漏掉 x-content-sha256,或时间偏差超 5 分钟被拒,或头顺序错乱导致签名不匹配。
实操建议:
- 始终使用官方 SDK
oci.auth.signers.RequestSigner或社区验证过的requests-auth-oci包,它们会自动处理 nonce、date、host、request-target 等头的归一化 - 若必须手写(如轻量脚本),优先复用
oci.signer.Signer类生成签名字符串,再注入到requests.Request(auth=...)中,而不是直接塞进headers - 调试时抓包对比:用
curl -v调 OCI 接口,复制其Authorization头结构,反推你代码里缺失的字段(常见漏掉content-type或date)
oci.signer.Signer 初始化时,fingerprint 和 key_file 必须严格匹配
错误现象:InvalidKeyError: Unable to load key from file 或签名后返回 401 InvalidSignature,但私钥文件明明存在且可读。
原因在于 OCI 要求 fingerprint 是公钥 SHA-256 指纹(十六进制小写、无冒号),而控制台显示的指纹默认带冒号、可能大写;key_file 必须是 PEM 格式 RSA 私钥(-----BEGIN RSA PRIVATE KEY-----),不是 OpenSSH 格式(-----BEGIN OPENSSH PRIVATE KEY-----)。
立即学习“Python免费学习笔记(深入)”;
实操建议:
- 用
openssl rsa -in your_key.pem -pubout -outform DER 2>/dev/null | openssl sha256重新算指纹,确保和控制台「用户 → API 密钥」里填的一致 - 如果私钥是
ssh-keygen -t rsa生成的,用ssh-keygen -p -m PEM -f your_key转成传统 PEM 格式 -
signer = oci.signer.Signer(..., fingerprint='xxxyyyzzz', tenancy_id='ocid1.tenancy...', user_id='ocid1.user...', key_file='/path/to/key.pem')—— 四个参数缺一不可,且顺序不能靠记忆,建议从 OCI 控制台「API 密钥」页直接复制完整初始化片段
Python 3.9+ 下 oci SDK 的 signer 默认不签请求 body,POST/PUT 必须显式传 body
现象:调用 ObjectStorageClient.put_object() 成功,但自定义 HTTP 请求(如用 requests.post() + oci.signer.Signer)上传文件时返回 400 Bad Request: Missing content-length 或签名校验失败。
根本原因是 oci.signer.Signer 在构造签名时,默认只对 headers 签名,除非你明确把原始 body 字节传给 sign_request() 方法。而 requests 的 data 或 json 参数在发包前才序列化,signer 根本看不到。
实操建议:
- 先序列化 body:
body_bytes = json.dumps(payload).encode('utf-8')或body_bytes = open('file.zip', 'rb').read() - 再调用:
signer.sign_request(request, body=body_bytes)—— 注意是body=,不是data=或json= - 同时手动设置
Content-Length和Content-Type头,否则 OCI 服务端无法匹配签名中声明的x-content-sha256
OCI 签名不支持 Python 的 httpx,urllib3 需绕过连接池重用
现象:用 httpx.Client() 封装签名请求,首次成功,后续请求返回 401 InvalidSignature;或用 urllib3.PoolManager() 复用连接时,签名头里的 date 时间戳过期。
因为 OCI 签名强制要求每个请求的 Date 头必须是当前 UTC 时间(误差 ≤ 300 秒),而连接池可能复用旧请求的 headers,或 httpx 的异步生命周期与 signer 的同步签名逻辑冲突。
实操建议:
- 禁用
httpx—— 官方ociSDK 内部用requests,且已适配 signer;第三方httpx绑定 signer 的方案无维护、无测试覆盖 - 若坚持用
urllib3,每次请求前重建PoolManager实例,或至少清空连接池:pool.clear(),并确保request.headers['Date']是调用时刻动态生成的 - 最稳路径:用
oci.config.from_file()+oci.signer.Signer初始化客户端,走 SDK 原生方法,别自己造 HTTP 调用链
真正卡住人的从来不是签名算法本身,而是时间戳、body 摘要、头白名单这三者的耦合关系——改一个字段,就得重新算整个签名,且任何一步在不同 Python 版本或 OpenSSL 版本下行为可能微变。别省那几行代码,SDK 的 sign_request() 方法已经帮你锁死了这些边界。
