Signatures des demandes
Cette rubrique décrit la procédure de signature des demandes d'API Oracle Cloud Infrastructure.
Des exemples de signature sont inclus pour les éléments suivants :
Signature version 1
La signature décrite ici est la version 1 de la signature d'API Oracle Cloud Infrastructure. A l'avenir, si Oracle modifie la méthode de signature des demandes, le numéro de version sera incrémenté et votre entreprise recevra une notification.
Informations d'identification et OCID requis
Le format de la clé de signature d'API doit être correct. Reportez-vous à Clés et OCID requis.
Décalage d'horloge client
Si l'horloge du client est décalée de plus de 5 minutes, un code de statut HTTP 401 (NotAuthenticated) est renvoyé. Cela affecte les demandes d'API. Pour plus d'informations, reportez-vous à Décalage maximal autorisé de l'horloge client.
Vous avez également besoin des OCID pour la location et l'utilisateur. Reportez-vous à Emplacement de l'OCID de la location et de l'OCID de l'utilisateur.
Récapitulatif des étapes de signature
En général, vous devez procéder comme suit pour signer une demande :
- Formez la demande HTTPS (protocole SSL TLS 1.2 requis).
- Créez la chaîne de signature, qui est basée sur les parties de la demande.
- Créez la signature à partir de la chaîne de signature à l'aide de la clé privée et de l'algorithme RSA-SHA256.
- Ajoutez la signature obtenue et les autres informations requises à l'en-tête
Authorizationde la demande.
Reportez-vous aux autres sections de cette rubrique pour obtenir des informations sur ces étapes.
Spécification à connaître
Pour apprendre à effectuer les étapes 2 à 4 de la procédure ci-dessus, reportez-vous à draft-cavage-http-signatures-08. Il s'agit d'un brouillon de spécification qui constitue la base de la gestion des signatures de demande par Oracle. Il explique de manière générale comment former la chaîne de signature, comment créer la signature, et comment ajouter la signature et les informations requises à la demande. Les autres sections de cette rubrique supposent que vous connaissez cette spécification. Des détails importants sur l'implémentation Oracle Cloud Infrastructure de la référence sont répertoriés dans la section suivante.
Détails d'implémentation spéciaux
Les sections suivantes décrivent les éléments importants à noter sur l'implémentation Oracle Cloud Infrastructure de la spécification.
En-tête Authorization
La signature Oracle Cloud Infrastructure utilise le modèle d'authentification Signature (avec un en-tête Authorization), et non l'en-tête HTTP Signature.
En-têtes requis
Cette section décrit les en-têtes à inclure dans la chaîne de signature.
Erreur si l'en-tête requis est manquant
Si un en-tête requis est manquant, le client reçoit une réponse 401 "Non autorisé".
Pour les demandes GET et DELETE (en l'absence de contenu dans le corps de la demande), la chaîne de signature doit inclure au moins les en-têtes suivants :
(request-target)(comme décrit dans draft-cavage-http-signatures-08)hostdateoux-date(si ces deux éléments sont inclus, Oracle utilisex-date)
Pour les demandes PUT et POST (en présence de contenu dans le corps de la demande), la chaîne de signature doit inclure au moins les en-têtes suivants :
(request-target)hostdateoux-date(si ces deux éléments sont inclus, Oracle utilisex-date)x-content-sha256(sauf pour les demandes PUT Object Storage ; reportez-vous à la section suivante)content-typecontent-length
Pour les demandes PUT et POST, le client doit calculer x-content-sha256 et l'inclure dans la chaîne de signature et la demande, même si le corps est une chaîne vide. En outre, l'élément content-length est toujours requis dans la chaîne de signature et la demande, même si le corps est vide. Certains clients HTTP n'enverront pas l'élément content-length si le corps est vide. Vous devez donc vous assurer explicitement que le client l'envoie. Si date et x-date sont inclus, Oracle utilise x-date. x-date sert à vous protéger contre la réutilisation de la partie signée de la demande (attaques en boucle).
La seule exception concerne les demandes PUT Object Storage sur les objets (voir la section suivante).
Instructions spéciales pour les demandes PUT Object Storage
Pour les demandes PUT Object Storage PutObject et UploadPart, la chaîne de signature doit inclure au moins les en-têtes suivants :
(request-target)hostdateoux-date(si ces deux éléments sont inclus, Oracle utilisex-date)
Si la demande inclut aussi l'un des autres en-têtes généralement requis pour les demandes PUT (voir la liste ci-dessus), il doit également être inclus dans la chaîne de signature.
Casse et ordre des en-têtes
Les en-têtes doivent être entièrement en minuscules dans la chaîne de signature.
L'ordre des en-têtes dans la chaîne de signature n'a pas d'importance. Veillez simplement à indiquer l'ordre dans le paramètre headers de l'en-tête Authorization, comme décrit dans draft-cavage-http-signatures-05.
L'élément
(request-target) contient le chemin et la chaîne de requête de la demande. Oracle s'attend à ce que vous créiez la chaîne de signature avec les paramètres de requête dans le même ordre que dans la demande. Si l'ordre des paramètres de requête de la demande change après la signature, l'authentification échoue.Encodage URL du chemin et de la chaîne de requête
Lorsque vous formez la chaîne de signature, vous devez procéder à l'encodage URL de tous les paramètres dans le chemin et la chaîne de requête (mais pas les en-têtes) conformément à RFC 3986.
Identificateur de clé
Vous devez définir keyId="<TENANCY OCID>/<USER OCID>/<KEY FINGERPRINT>" dans l'en-tête Authorization que vous ajoutez à la demande. Pour obtenir ces valeurs, reportez-vous à Emplacement de l'OCID de la location et de l'OCID de l'utilisateur. Exemple de keyId (abrégé pour une meilleure lisibilité) :
ocid1.tenancy.oc1..<unique_ID>/ocid1.user.oc1..<unique_ID>/<key_fingerprint>Algorithme de signature
L'algorithme de signature doit être RSA-SHA256 et vous devez définir algorithm="rsa-sha256" dans l'en-tête Authorization (n'oubliez pas les guillemets).
Version de signature
Vous devez inclure version="1" dans l'en-tête Authorization (n'oubliez pas les guillemets). Sinon, il est supposé que vous utilisez la version en cours (en l'occurrence, la version 1).
Exemple d'en-tête
Voici un exemple de la syntaxe générale de l'en-tête Authorization (pour une demande avec du contenu dans le corps) :
Authorization: Signature version="1",keyId="<tenancy_ocid>/<user_ocid>/<key_fingerprint>",algorithm="rsa-sha256",headers="(request-target) date x-content-sha256 content-type content-length",signature="Base64(RSA-SHA256(<signing_string>))"Valeurs de test
Voici un exemple de paire de clés, deux exemples de demande et l'en-tête Authorization obtenu pour chaque demande.
Les exemples de signature ci-dessous utilisent des clés RSA 2 048 bits. Utilisez ces clés uniquement pour tester le code de signature et non pour envoyer des demandes de production.
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCFENGw33yGihy92pDjZQhl0C3
6rPJj+CvfSC8+q28hxA161QFNUd13wuCTUcq0Qd2qsBe/2hFyc2DCJJg0h1L78+6
Z4UMR7EOcpfdUE9Hf3m/hs+FUR45uBJeDK1HSFHD8bHKD6kv8FPGfJTotc+2xjJw
oYi+1hqp1fIekaxsyQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQDCFENGw33yGihy92pDjZQhl0C36rPJj+CvfSC8+q28hxA161QF
NUd13wuCTUcq0Qd2qsBe/2hFyc2DCJJg0h1L78+6Z4UMR7EOcpfdUE9Hf3m/hs+F
UR45uBJeDK1HSFHD8bHKD6kv8FPGfJTotc+2xjJwoYi+1hqp1fIekaxsyQIDAQAB
AoGBAJR8ZkCUvx5kzv+utdl7T5MnordT1TvoXXJGXK7ZZ+UuvMNUCdN2QPc4sBiA
QWvLw1cSKt5DsKZ8UETpYPy8pPYnnDEz2dDYiaew9+xEpubyeW2oH4Zx71wqBtOK
kqwrXa/pzdpiucRRjk6vE6YY7EBBs/g7uanVpGibOVAEsqH1AkEA7DkjVH28WDUg
f1nqvfn2Kj6CT7nIcE3jGJsZZ7zlZmBmHFDONMLUrXR/Zm3pR5m0tCmBqa5RK95u
412jt1dPIwJBANJT3v8pnkth48bQo/fKel6uEYyboRtA5/uHuHkZ6FQF7OUkGogc
mSJluOdc5t6hI1VsLn0QZEjQZMEOWr+wKSMCQQCC4kXJEsHAve77oP6HtG/IiEn7
kpyUXRNvFsDE0czpJJBvL/aRFUJxuRK91jhjC68sA7NsKMGg5OXb5I5Jj36xAkEA
gIT7aFOYBFwGgQAQkWNKLvySgKbAZRTeLBacpHMuQdl1DfdntvAyqpAZ0lY0RKmW
G6aFKaqQfOXKCyWoUiVknQJAXrlgySFci/2ueKlIE1QqIiLSZ8V8OlpFLRnb1pzI
7U1yQXnTAEFYM560yJlzUpOb1V4cScGd365tiSMvxLOvTA==
-----END RSA PRIVATE KEY-----
The public key is stored under keyId:
ocid1.tenancy.oc1..<unique_ID>/ocid1.user.oc1..<unique_ID>/<key_fingerprint>
For the following GET request (line breaks inserted between query parameters for easier reading; also notice the URL encoding as mentioned earlier):
GET https://iaas.us-phoenix-1.oraclecloud.com/20160918/instances
?availabilityDomain=Pjwf%3A%20PHX-AD-1
&compartmentId=ocid1.compartment.oc1...<unique_ID>
&displayName=TeamXInstances
&volumeId=ocid1.volume.oc1.phx.<unique_ID>
Date: Thu, 05 Jan 2014 21:31:40 GMT
The signing string would be (line breaks inserted into the (request-target) header for easier reading):
date: Thu, 05 Jan 2014 21:31:40 GMT
(request-target): get /20160918/instances?availabilityDomain=Pjwf%3A%20PH
X-AD-1&compartmentId=ocid1.compartment.oc1..aaaaaaaam3we6vgnherjq5q2i
dnccdflvjsnog7mlr6rtdb25gilchfeyjxa&displayName=TeamXInstances&
volumeId=ocid1.volume.oc1.phx.abyhqljrgvttnlx73nmrwfaux7kcvzfs3s66izvxf2h
4lgvyndsdsnoiwr5q
host: iaas.us-phoenix-1.oraclecloud.com
The Authorization header would be:
Signature version="1",headers="date (request-target) host",keyId="ocid1.t
enancy.oc1..<unique_ID>/ocid1.user.oc1..<unique_ID>/<key_fingerprint>,algorithm="rsa-sha256
",signature="<your_signature>"
For the following POST request:
POST https://iaas.us-phoenix-1.oraclecloud.com/20160918/volumeAttachments
Date: Thu, 05 Jan 2014 21:31:40 GMT
{
"compartmentId": "ocid1.compartment.oc1..<unique_id>",
"instanceId": "ocid1.instance.oc1.phx.<unique_id>",
"volumeId": "ocid1.volume.oc1.phx.<unique_id>"
}
The signing string would be:
date: Thu, 05 Jan 2014 21:31:40 GMT
(request-target): post /20160918/volumeAttachments
host: iaas.us-phoenix-1.oraclecloud.com
content-length: 316
content-type: application/json
x-content-sha256: V9Z20UJTvkvpJ50flBzKE32+6m2zJjweHpDMX/U4Uy0=
The Authorization header would be:
Signature version="1",headers="date (request-target) host content-length c
ontent-type x-content-sha256",
keyId="ocid1.tenancy.oc1..<unique_id>/ocid1.user.oc1.<unique_id>/<your_fingerprint>",
algorithm="rsa-sha256",signature="<your_signature>"Exemple de code
Cette section présente le code de base pour la signature des demandes d'API.
Java
/**
* Copyright (c) 2016, 2020, Oracle and/or its affiliates. All rights reserved.
* This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl
* or Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
*/
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.nio.charset.StandardCharsets;
import javax.ws.rs.client.Client;
import javax.ws.rs.client.ClientBuilder;
import javax.ws.rs.client.Invocation;
import javax.ws.rs.client.WebTarget;
import javax.ws.rs.core.MediaType;
import javax.ws.rs.core.MultivaluedMap;
import javax.ws.rs.core.Response;
import com.google.common.net.UrlEscapers;
import com.oracle.bmc.http.signing.RequestSigningFilter;
public class RawRestCallExample {
public static void main(String[] args) throws Exception {
// TODO: fill this out
String instanceId = null;
String configurationFilePath = "~/.oci/config";
String profile = "DEFAULT";
// Pre-Requirement: Allow setting of restricted headers. This is required to allow the SigningFilter
// to set the host header that gets computed during signing of the request.
System.setProperty("sun.net.http.allowRestrictedHeaders", "true");
// 1) Create a request signing filter instance
RequestSigningFilter requestSigningFilter =
RequestSigningFilter.fromConfigFile(configurationFilePath, profile);
// 2) Create a Jersey client and register the request signing filter
Client client = ClientBuilder.newBuilder().build().register(requestSigningFilter);
// 3) Target an endpoint. You must ensure that path arguments and query
// params are escaped correctly yourself
WebTarget target =
client.target("https://iaas.us-phoenix-1.oraclecloud.com")
.path("20160918")
.path("instances")
.path(UrlEscapers.urlPathSegmentEscaper().escape(instanceId));
// 4) Set the expected type and invoke the call
Invocation.Builder ib = target.request();
ib.accept(MediaType.APPLICATION_JSON);
Response response = ib.get();
// 5) Print the response headers and the body (JSON) as a string
MultivaluedMap<String, Object> responseHeaders = response.getHeaders();
System.out.println(responseHeaders);
InputStream responseBody = (InputStream) response.getEntity();
try (final BufferedReader reader =
new BufferedReader(new InputStreamReader(responseBody, StandardCharsets.UTF_8))) {
StringBuilder jsonBody = new StringBuilder();
String line;
while ((line = reader.readLine()) != null) {
jsonBody.append(line);
}
System.out.println(jsonBody.toString());
}
}
}Python
Cet exemple de code Python exige TLS 1.2, qui n'est pas inclus avec la version Python par défaut sur Mac OS X.
# coding: utf-8
# Copyright (c) 2016, 2020, Oracle and/or its affiliates. All rights reserved.
# This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl
# or Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
import requests
from oci.config import from_file
from oci.signer import Signer
config = from_file()
auth = Signer(
tenancy=config['tenancy'],
user=config['user'],
fingerprint=config['fingerprint'],
private_key_file_location=config['key_file'],
pass_phrase=config['pass_phrase']
)
endpoint = 'https://identity.us-phoenix-1.oraclecloud.com/20160918/users/'
body = {
'compartmentId': config['tenancy'], # root compartment
'name': 'TestUser',
'description': 'Created with a raw request'
}
response = requests.post(endpoint, json=body, auth=auth)
response.raise_for_status()
print(response.json()['id'])TypeScript
/**
* Copyright (c) 2020, Oracle and/or its affiliates. All rights reserved.
* This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl
* or Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
*/
import { DefaultRequestSigner, HttpRequest } from "oci-common";
import { provider } from "./authentication";
import * as promise from "es6-promise";
import "isomorphic-fetch";
promise.polyfill();
const userID = "Add User OCID here";
(async () => {
// 1. Create Request Signing instance
const signer = new DefaultRequestSigner(provider);
// 2. Create HttpRequest to be signed
const httpRequest: HttpRequest = {
uri: `https://identity.us-phoenix-1.oraclecloud.com/20160918/users/${userID}`,
headers: new Headers(),
method: "GET"
};
// 3. sign request
await signer.signHttpRequest(httpRequest);
// 4. Make the call
const response = await fetch(
new Request(httpRequest.uri, {
method: httpRequest.method,
headers: httpRequest.headers,
body: httpRequest.body
})
);
// 5. Print response
console.log(await response.json());
})();JavaScript
/**
* Copyright (c) 2020, Oracle and/or its affiliates. All rights reserved.
* This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl
* or Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
*/
const common = require("oci-common");
const promise = require("es6-promise");
require("isomorphic-fetch");
promise.polyfill();
const configurationFilePath = "~/.oci/config";
const configProfile = "DEFAULT";
const provider = new common.ConfigFileAuthenticationDetailsProvider(
configurationFilePath,
configProfile
);
const userID = "<INSERT_SAMPLE_USER_OCID_HERE>";
(async () => {
// 1. Create Request Signing instance
const signer = new common.DefaultRequestSigner(provider);
// 2. Create HttpRequest to be signed
const httpRequest = {
uri: `https://identity.us-phoenix-1.oraclecloud.com/20160918/users/${userID}`,
headers: new Headers(),
method: "GET"
};
// 3. sign request
await signer.signHttpRequest(httpRequest);
// 4. Make the call
const response = await fetch(
new Request(httpRequest.uri, {
method: httpRequest.method,
headers: httpRequest.headers,
body: httpRequest.body
})
);
// 5. Print response
console.log(await response.json());
})();Ruby
# Copyright (c) 2016, 2020, Oracle and/or its affiliates. All rights reserved.
# This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl or
# Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
require 'oci'
require 'net/http'
config = OCI::ConfigFileLoader.load_config(config_file_location:my_config_file_location)
endpoint = OCI::Regions.get_service_endpoint(config.region, :IdentityClient)
uri = URI(endpoint + '/20160918/users/' + config.user)
request = Net::HTTP::Get.new(uri)
signer = OCI::Signer.new(config.user, config.fingerprint, config.tenancy, config.key_file, pass_phrase:my_private_key_pass_phrase)
signer.sign(:get, uri.to_s, request, nil)
result = Net::HTTP.start(uri.hostname, uri.port, :use_ssl => true) {|http|
http.request(request)
}
puts result.bodyGo
L'exemple suivant montre comment créer un signataire par défaut.
Le kit SDK pour Go affiche un signataire autonome que vous pouvez utiliser pour signer des demandes personnalisées. Vous trouverez le code associé à l'adresse http_signer.go.
// Copyright (c) 2016, 2018, 2020, Oracle and/or its affiliates. All rights reserved.
// This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl or
// Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
// Example code for sending raw request to Service API
package example
import (
"fmt"
"io/ioutil"
"log"
"net/http"
"time"
"github.com/oracle/oci-go-sdk/common"
"github.com/oracle/oci-go-sdk/example/helpers"
)
// ExampleRawRequest compose a request, sign it and send to server
func ExampleListUsers_RawRequest() {
// build the url
url := "https://identity.us-phoenix-1.oraclecloud.com/20160918/users/?compartmentId=" + *helpers.RootCompartmentID()
// create request
request, err := http.NewRequest("GET", url, nil)
helpers.FatalIfError(err)
// Set the Date header
request.Header.Set("Date", time.Now().UTC().Format(http.TimeFormat))
// And a provider of cryptographic keys
provider := common.DefaultConfigProvider()
// Build the signer
signer := common.DefaultRequestSigner(provider)
// Sign the request
signer.Sign(request)
client := http.Client{}
fmt.Println("send request")
// Execute the request
resp, err := client.Do(request)
helpers.FatalIfError(err)
defer resp.Body.Close()
log.Println("response Status:", resp.Status)
log.Println("response Headers:", resp.Header)
body, _ := ioutil.ReadAll(resp.Body)
log.Println("response Body:", string(body))
fmt.Println("receive response")
// Output:
// send request
// receive response
}Bash
Affichez l'exemple Bash en plein écran pour une meilleure lisibilité.
#!/bin/bash
# Copyright (c) 2016, 2020, Oracle and/or its affiliates. All rights reserved.
# This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl or Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
set -e
if [[ -z "$COMPARTMENT_ID" ]];then
echo "COMPARTMENT_ID must be defined in the environment. "
exit 1
fi
USER_NAME="TestUser"
USER_DESCRIPTION="User created by raw request"
TARGET_URI='https://identity.us-phoenix-1.oraclecloud.com/20160918/users/'
HTTP_METHOD='POST'
PROFILE='ADMIN'
REQUEST_BODY="{\"compartmentId\": \"$COMPARTMENT_ID\", \"name\": \"$USER_NAME\", \"description\": \"$USER_DESCRIPTION\"}"
echo "oci raw-request --profile ${PROFILE} --target-uri ${TARGET_URI} --http-method ${HTTP_METHOD} --request-body "${REQUEST_BODY}" | jq -r '.data.id'"
USER_OCID=$(oci raw-request --profile ${PROFILE} --target-uri ${TARGET_URI} --http-method ${HTTP_METHOD} --request-body "${REQUEST_BODY}" | jq -r '.data.id')
echo "Created user OCID: $USER_OCID"C#
/*
* Copyright (c) 2020, Oracle and/or its affiliates. All rights reserved.
* This software is dual-licensed to you under the Universal Permissive License (UPL) 1.0 as shown at https://oss.oracle.com/licenses/upl or
* Apache License 2.0 as shown at http://www.apache.org/licenses/LICENSE-2.0. You may choose either license.
*/
using System;
using System.Net.Http;
using System.Threading.Tasks;
using Oci.Common.Http.Signing;
namespace Oci.Examples
{
public class RawRestCallExample
{
private static NLog.Logger logger = NLog.LogManager.GetCurrentClassLogger();
public static async Task MainRaw()
{
var namespaceName = Environment.GetEnvironmentVariable("NAMESPACE_NAME");
var compartmentId = Environment.GetEnvironmentVariable("COMPARTMENT_ID");
var httpClientHandler = OciHttpClientHandler.FromConfigFile("~/.oci/config", "DEFAULT");
var GET_BUCKETS_URL = $"https://objectstorage.us-phoenix-1.oraclecloud.com/n/{namespaceName}/b/?compartmentId={compartmentId}";
var client = new HttpClient(httpClientHandler);
var requestMessage = new HttpRequestMessage(HttpMethod.Get, new Uri(GET_BUCKETS_URL));
var response = await client.SendAsync(requestMessage);
logger.Info($"Is rest call successful: {response.IsSuccessStatusCode}");
var responseJson = await response.Content.ReadAsStringAsync();
logger.Info($"Parsed Response: {responseJson}");
}
}
}