S3 PUT 请求到预签名 URL 上的 SignatureDoesNotMatch

【问题标题】:SignatureDoesNotMatch on S3 PUT Request to Presigned URLS3 PUT 请求到预签名 URL 上的 SignatureDoesNotMatch
【发布时间】:2019-03-12 03:01:05
【问题描述】:

我正在生成一个预签名 URL 服务器端,以允许我的客户端应用程序将文件直接上传到 S3 存储桶。除非客户端应用程序在技术上比我的服务器时钟提前一天的时区在计算机上运行,​​否则一切正常。

我可以通过将系统时钟提前设置到第二天的时区来在本地重现问题。

这是我使用 .NET SDK 生成预签名 URL 的方式(我最初使用的是 DateTime.Now 而不是 UTCNow):

var request = new GetPreSignedUrlRequest
{
 BucketName = bucketName,
 Key = objectName,
 Verb = HttpVerb.PUT,
 Expires = DateTime.UtcNow.AddDays(5),
 ContentType = "application/octet-stream"
};

request.Headers["x-amz-acl"] = "bucket-owner-full-control";
request.Metadata.Add("call", JsonConvert.SerializeObject(call).ToString());

return client.GetPreSignedURL(request);

然后我在客户端应用程序中使用该预签名 URL,如下所示:

using (var fileStream = new FileStream(recordingPath, FileMode.Open))
using (var client = new WebClient())
{
    HttpContent fileStreamContent = new StreamContent(fileStream);
    var bytes = await fileStreamContent.ReadAsByteArrayAsync();
    client.Headers.Add("Content-Type", "application/octet-stream");
    //include metadata in PUT request
    client.Headers.Add("x-amz-meta-call", JsonConvert.SerializeObject(Call));

    await client.UploadDataTaskAsync(new Uri(presignedUrl), "PUT", bytes);
}

这是我从 AWS 收到的错误:

<?xml version="1.0" encoding="UTF-8"?>
<Error><Code>SignatureDoesNotMatch</Code><Message>The request signature we calculated does not match the signature you provided. Check your key and signing method.</Message><AWSAccessKeyId>{access}</AWSAccessKeyId><StringToSign>....

这些请求在 Fiddler 中看起来与我基本相同。

作品:

PUT https://{bucketname}.s3.amazonaws.com/1c849c76-dd2a-4ff7-aad7-23ec7e9ddd45_encoded.opus?X-Amz-Expires=18000&x-amz-security-token={security_token}&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential={cred}&X-Amz-Date=20190312T021419Z&X-Amz-SignedHeaders=content-type;host;x-amz-acl;x-amz-meta-call;x-amz-security-token&X-Amz-Signature={sig} HTTP/1.1
x-amz-meta-call: {json_string}
x-amz-acl: bucket-owner-full-control
Content-Type: application/octet-stream
Host: {bucketname}.s3.amazonaws.com
Content-Length: 28289
Expect: 100-continue

{file}

不起作用:

PUT https://{bucketname}.s3.amazonaws.com/4cca3ec3-9f3f-4ba4-9d81-6336090610c0_encoded.opus?X-Amz-Expires=18000&x-amz-security-token={security_token}&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential={credentials}&X-Amz-Date=20190312T021541Z&X-Amz-SignedHeaders=content-type;host;x-amz-acl;x-amz-meta-call;x-amz-security-token&X-Amz-Signature={sig} HTTP/1.1
x-amz-meta-call: {json_string}
x-amz-acl: bucket-owner-full-control
Content-Type: application/octet-stream
Host: {bucketname}.s3.amazonaws.com
Content-Length: 18714
Expect: 100-continue


{file}

在这两种情况下,预签名 URL 都会生成相同的 x-amz-date 参数。我什至尝试从 URL 中解析出 x-amz-date 参数并将其明确设置为我的 PUT 中的标头,但这也不起作用。

我错过了什么?

【问题讨论】:

    标签: amazon-web-services amazon-s3 pre-signed-url aws-sdk-net


    【解决方案1】:

    我发现我使用的是不同版本的签名。 v4 非常适合我。

    在 JS 中,需要 S3 作为

    const s3 = new AWS.S3({
  signatureVersion: 'v4'
});

    【讨论】:

    • 这确实有效!到处检查后,都没有奏效。谢谢大佬
    • 很高兴这对一些人有所帮助,但请注意问题是关于 .NET SDK,而不是 JS
    • @MarcL。 , 您可以使用 AWSConfigsS3.UseSignatureVersion4 = true; 在 .NET 中启用相同的属性
    【解决方案2】:

    所以问题最终出现在元数据中。在我们的设置中,我们让客户端应用程序将 JSON 字符串连同文件一起发布到我们的 API,以生成预签名 URL。我们使用 Json.net 反序列化为 C# 类:

    var call = JsonConvert.DeserializeObject<Call>(request.Params["metadata"]);

    显然,此调用将 Json 中的任何时间戳转换为本地时间。这意味着我们将使用 API 服务器本地的元数据时间戳对 URL 进行签名,但实际上将带有本地元数据时间戳的文件上传到客户端。这种差异就是计算的签名不同的原因。

    【讨论】:

      猜你喜欢
      • 2023-01-27
      • 2021-04-28
      • 1970-01-01
      • 2022-07-16
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-05-26
      • 2019-08-05
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode