签名机制

签名方法

签名时，您需在控制台AccessKey管理页面查看您的AccessKey ID和AccessKey Secret，然后生成签名验证码（MAC）。其中，AccessKey ID用于标识访问者身份；AccessKey Secret是用于加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密。

请按照下面的方法对请求进行签名处理：

1. 使用请求参数构造规范化的请求字符串（Canonicalized Query String）。

   1. 排序参数。

      按照参数名称的字典顺序，对请求参数进行排序。

      说明

      当使用GET方法提交请求时，这些参数就是请求URL中的参数部分，即URL中?之后由&连接的部分。

   2. 对每个请求参数的名称和值进行URL编码。

      名称和值要使用UTF-8字符集按照RFC3986规则进行编码。编码规则如下：

      • 字符A_Z、az、0~9以及字符-、_、.、~不编码。

      • 其它字符编码成%XY的格式，其中XY是字符对应ASCII码的16进制表示。例如英文的双引号"对应的编码为%22。

      • 扩展的UTF-8字符，编码成%XY%ZA…的格式。

      • 英文空格要编码成%20，而不是加号+。

      该编码方式与application/x-www-form-urlencodedMIME格式编码算法相似，但又有所不同。

      如果您使用的是Java标准库中的java.net.URLEncoder，可以先用标准库中percentEncode编码，随后将编码后的字符中加号+替换为%20、星号*替换为%2A、%7E替换为波浪号~，即可得到上述规则描述的编码字符串。

      private static final String ENCODING = "UTF-8";
      private static String percentEncode(String value) throws UnsupportedEncodingException {
      return value != null ? URLEncoder.encode(value, ENCODING).replace("+", "%20").replace("*", "%2A").replace("%7E", "~") : null;
      }
      

   3. 对编码后的参数名称和值使用英文等号（=）进行连接。

   4. 把英文等号连接得到的字符串按参数名称的字典顺序依次使用&符号连接。

   完成后，即得到规范化请求字符串（CanonicalizedQueryString）。

2. 构造签名字符串。

   使用percentEncode处理步骤1得到的规范化字符串，构造用于计算签名的字符串。可参考如下规则：

   StringToSign=
     HTTPMethod + "&" +                      
     percentEncode("/") + "&" +              
     percentEncode(CanonicalizedQueryString)
   

   参数说明：

   • HTTPMethod：发送请求的HTTP方法，例如GET。

   • percentEncode(“/”)：字符“/”进行UTF-8编码得到的值，即“%2F”。

   • percentEncode(CanonicalizedQueryString)：您的规范化请求字符串。

3. 计算HMAC值。

   按照RFC2104的定义，使用步骤2得到的字符串StringToSign计算签名HMAC值。

   HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(StringToSign) )
   

   重要

   计算签名时使用的Key就是您的AccessKeySecret并加上一个与号&字符（ASCII:38），使用的哈希算法是SHA1。

4. 计算签名值。

   按照Base64编码规则把步骤3中的HMAC值编码成字符串，即得到签名值（Signature）。

   Signature = Base64( HMAC-SHA1( AccessSecret, UTF-8-Encoding-Of(StringToSign) ) )
   

5. 添加签名。

   将得到的签名值作为Signature参数，按照RFC3986的规则进行URL编码后，再添加到请求参数中，即完成对请求签名的过程。

签名示例

以调用Pub接口为例。假设您的AccessKeyId=testid，AccessKeySecret=testsecret，ProductKey=12345abcde、TopicFullName=/12345abcde/testdevice/user/get、MessageContent=aGVsbG8gd29ybGQ、Qos=0。

1. 组成签名前的请求URL。

   http://iot.cn-hangzhou.tuyacloud.com/?Action=Pub&MessageContent=aGVsbG8gd29ybGQ&Timestamp=2018-07-31T07:43:57Z&SignatureVersion=1.0&Format=XML&Qos=0&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2018-01-20&AccessKeyId=testid&SignatureMethod=HMAC-SHA1&RegionId=cn-shanghai&ProductKey=12345abcde&TopicFullName=/12345abcde/testdevice/user/get
   

2. 计算得到待签名字符串StringToSign。

   GET&%2F&AccessKeyId%3Dtestid%26Action%3DPub%26Format%3DXML%26MessageContent%3DaGVsbG8gd29ybGQ%26ProductKey%3D12345abcde%26Qos%3D0%26RegionId%3Dcn-shanghai%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf%26SignatureVersion%3D1.0%26Timestamp%3D2018-07-31T07%253A43%253A57Z%26TopicFullName%3D%252F12345abcde%252Ftestdevice%252Fuser%252Fget%26Version%3D2018-01-20
   

3. 计算签名值。

   因为AccessKeySecret=testsecret，用于计算的Key为testsecret&，计算得到的签名值为：

   NUh3otvAoXOZmG/a2gDShh6Ze9w=
   

4. 将签名作为Signature参数加入到URL请求中，最后得到的URL为：

   http://iot.cn-hangzhou.tuyacloud.com/?MessageContent=aGVsbG8gd29ybGQ&Action=Pub&Timestamp=2018-07-31T07%253A43%253A57Z&SignatureVersion=1.0&Format=XML&Qos=0&SignatureNonce=3ee8c1b8-83d3-44af-a94f-4e0ad82fd6cf&Version=2018-01-20&AccessKeyId=testid&Signature=NUh3otvAoXOZmG%2Fa2gDShh6Ze9w%3D&SignatureMethod=HMAC-SHA1&RegionId=cn-shanghai&ProductKey=12345abcde&TopicFullName=%2F12345abcde%2Ftestdevice%2Fuser%2Fget