Signature的生成方法

將get中提交的引數（除了aks以外所有的引數）按照一定的組成規則拼成一個字串，前面再加上GET&/&組成StringToSign，然後對StringToSign做 HMAC計算，以Access Key Secret+一個“&”號為HMAC計算的key，最終算出的字串就是Signature。

排查思路

若碰到反饋Signature錯誤，可以排查以下幾點：

1. 在構造“StringToSign”時是否對key值做了A-Z的字典排序
2. 是否將所有的引數都放入了StringToSign
3. 計算前是否對StringToSign中的值做了urlencode，即將一些特殊的字元替換成類似%3D這樣的字串，如“=”需要替換成“%3D”，“/”要替換成“%2F”等，參見下述說明：
   a、 對於字元 A-Z、a-z、0-9 以及字元“-”、“_”、“.”、“~”不編碼；

b、 對於其他字元編碼成 “%XY” 的格式，其中 XY 是字元對應 ASCII 碼的 16 進製表示。比如英文的雙引號（”）對應的編碼就是 %22
c、 對於擴充套件的 UTF-8 字元，編碼成 “%XY%ZA…” 的格式；
d、 需要說明的是英文空格（ ）要被編碼是 %20，而不是加號（+）。

1. 是否使用了指定的演算法，目前Signature需要使用HMAC-SHA1演算法，在Java中通過Mac mac = Mac.getInstance(“HmacSHA1”);來獲得HMAC-SHA1演算法的物件
2. 檢查HMAC-SHA1運算時是否是將Access Key Secret+&作為key（如Access Key Secret為abc，那麼使用“abc&”作為運算的key），運算過程編碼使用UTF-8編碼

以下是一個例子

1、 比如說要查詢可用的映象，先加入除了Signature以外所有的引數（值被忽略）：

[ImageOwnerAlias, SignatureVersion, Action, Format, PageSize, SignatureNonce, Version, AccessKeyId, SignatureMethod, RegionId, Timestamp]

2、 對它們進行字典排序：

[AccessKeyId, Action, Format, ImageOwnerAlias, PageSize, RegionId, SignatureMethod, SignatureNonce, SignatureVersion, Timestamp, Version]

3、 挨個將它們拼接在一起（注意這個時候Timestamp中的值就已經經過了urlencode了，將“:”替換為“%3A”）：

AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26

4、 在前面加上GET&/&：

GET&/&AccessKeyId=6olc8au16tjr574v222c923p&Action=DescribeImages&Format=XML&ImageOwnerAlias=system&PageSize=10&RegionId=cn-hangzhou&SignatureMethod=HMAC-SHA1&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&SignatureVersion=1.0&Timestamp=2015-09-12T07%3A45%3A58Z&Version=2014-05-26

5、 再對整個字串做urlencode，可以看到其中的“/”、“=”和引數鍵值對中的“&”都已經被替換，注意最前面的GET之後的兩個“&”並沒有被替換：

GET&%2F&AccessKeyId%3D6olc8au16tjr574v222c923p%26Action%3DDescribeImages%26Format%3DXML%26ImageOwnerAlias%3Dsystem%26PageSize%3D10%26RegionId%3Dcn-hangzhou%26SignatureMethod%3DHMAC-SHA1%26SignatureNonce%3D352f98b6-5fbe-489c-b8a4-5d484939a8d5%26SignatureVersion%3D1.0%26Timestamp%3D2015-09-12T07%253A45%253A58Z%26Version%3D2014-05-26

6、 然後構造HMAC運算的key，很簡單，將Access Key Secret再加上一個“&”即可：

IamAccessKeySecret&

7、 扔給電腦做HMAC-SHA1運算，然後算出來一個最終的字串：

53wPekiWxh45TgPxVb4bkXrzZ6M=

8、 這個字串就是最終的Signature值，然後將其加入到HTTP get請求中，組成最終的get引數字串，特別要注意Signature加入後需要確認其中的特殊符號如“=”是否被轉換為%xx的字串。

ImageOwnerAlias=system&SignatureVersion=1.0&Action=DescribeImages&Format=XML&PageSize=10&SignatureNonce=352f98b6-5fbe-489c-b8a4-5d484939a8d5&Version=2014-05-26&AccessKeyId=6olc8au16tjr574v222c923p&Signature=53wPekiWxh45TgPxVb4bkXrzZ6M%3D&SignatureMethod=HMAC-SHA1&RegionId=cn-hangzhou&Timestamp=2015-09-12T07%3A45%3A58Z

9、 然後就可以向ECS的API伺服器傳送請求了

參考文件

1.官網的生成Signature文件：https://help.aliyun.com/document_detail/25492.html