很多服務(wù)在做驗(yàn)證的時候都會用到SharedAccessSignature,例如Azure Service Bus, Azure IoT Hub等。今天趟了回大坑,這里分享出來,希望對你有所幫助。

SharedAccessSignature的格式如下: 

SharedAccessSignature sig={signature-string}&se={expiry}&skn={policyName}&sr={URL-encoded-resourceURI}

因此,憑直覺針對不同的服務(wù)只要正確指定policyname,resourceURI 就可以計(jì)算出相應(yīng)的SAS。但實(shí)際上,對于不同的服務(wù),他們對如何利用秘鑰生成signature會存在細(xì)微的差別。如果沒有注意到這個細(xì)微的差別,會讓你抓狂兩小時。

下面拿Azure Service Bus和Azure IoT Hub進(jìn)行舉例,如果后續(xù)我碰到Azure 其他服務(wù)有類似的問題。我會更新此文。

首先是Azure IoT Hub, 針對如何生成signature 官方文檔說明如下: 

{signature} :An HMAC-SHA256 signature string of the form: {URL-encoded-resourceURI} + "\n" + expiry. Important: The key is decoded from base64 and used as key to perform the HMAC-SHA256 computation.

再來看Azure Service Bus 的官方文檔說明: 

The signature for the SAS token is computed using the HMAC-SHA256 hash of a string-to-sign with the PrimaryKey property of an authorization rule.

網(wǎng)友評論