jsa*_*jsa 1 php amazon-cloudfront aws-sdk aws-access-policy
我需要使用 PHP 使用自定义策略创建签名的 CloudFront URL,但无论我做什么,显然我的策略都是“格式错误”。以下是该函数中生成的策略示例:
{"Statement":{"Resource":"https://d15xojelh58w5d.cloudfront.net/memo/kwz/cvyhkfdqn5oz0z1dz5at4z4s1jsn.kwz","Condition":{"DateLessThan":{"AWS:EpochTime":1490463203},"IpAddress":{"AWS:SourceIp":"1.2.3.4/32"}}}}
生成的网址:
https://d15xojelh58w5d.cloudfront.net/memo/kwz/cvyhkfdqn5oz0z1dz5at4z4s1jsn.kwz?Policy=eyJTdGF0ZW1lbnQiOnsiUmVzb3VyY2UiOiJodHRwczovL2QxNXhvamVsaDU4dzVkLmNsb3VkZnJvbnQubmV0L21lbW8va3d6L2N2eWhrZmRxbjVvejB6MWR6NWF0NHo0czFqc24ua3d6IiwiQ29uZGl0aW9uIjp7IkRhdGVMZXNzVGhhbiI6eyJBV1M6RXBvY2hUaW1lIjoxNDkwNDYzMjAzfSwiSXBBZGRyZXNzIjp7IkFXUzpTb3VyY2VJcCI6IjEuMi4zLjQvMzIifX19fQ__&Signature=MmBPtpipFLuNwaPliGLJajG4gJ7INwD0ptFdxPFYQP9CT-luq6W0SrAs9O9CqbJPHoukXwDzG~c88Rr5I2I9KP5QwD8MHpogGh~3SM3gBYm8ao0Zm7a5C9tWnBVRCtzuGrCrFstK-qLswWmqo6tNiOynSuFpvm9uDe3C8oWE2RzSZavEXoL35D3F8y98NeM0aOJe37EeSpdz3lrZZxei2TugoO-OmnApXa2YYJR2HiQ2l0t8paxcb3xyhCK1c1AR51uOpWLm63k~d0eNZJGo3x0Y6bx0GBqafdvV6jiUv6PbhiMC1ZcTxGnZhLmsz3~ONsEvaR1jyyOPt6y9Nos8yA__&Key-Pair-Id=APKAJ6RV6ACUX5M5IAOQ
代码:
function cloudfront_sign($url, $expiry = null, $ipLock = true) {
$policy = array(
'Statement' => array(
'Resource' => $url,
'Condition' => array(),
),
);
if(!$expiry || $expiry <= time()) $expiry = 2147483647; // CloudFront *requires* an expiry date, so set to 03:14:07 UTC on Tuesday, 19 January 2038 if one is not provided
$policy['Statement']['Condition']['DateLessThan'] = array('AWS:EpochTime' => $expiry);
if($ipLock) $policy['Statement']['Condition']['IpAddress'] = array('AWS:SourceIp' => $_SERVER['REMOTE_ADDR'].'/32');
$signer = new Aws\CloudFront\UrlSigner($_config['keyID'], $_config['keyPath']);
$jsonPolicy = json_encode($policy, JSON_UNESCAPED_SLASHES);
$url = $signer->getSignedUrl($url, null, $jsonPolicy);
return $url;
}
$url = kaeru_cloudfront_sign('https://d15xojelh58w5d.cloudfront.net/memo/kwz/cvyhkfdqn5oz0z1dz5at4z4s1jsn.kwz', 1490463203);
我可以准确地告诉你发生了什么,但我不能告诉你为什么,除非这是你(显然)使用的 SDK 版本中的错误。
保单文件确实格式错误,签名也是如此。
而且看起来你实际上并没有做错什么。
我假设您熟悉 base64,其中 8 位数据扩展为每个八位组 6 位,以允许通过使用 64 个符号(其中 64 是 2^6, 6 位离散值的数量)。
0-9和组成 10 + 26 + 26 = 62 个必要符号,然后 和使符号总数达到 64,A-Z但由于最后可能有一个八位位组的输出,其中仅编码了 2 或 4 位输入,第 65 个符号“填充”表示前一个符号中存在不代表输入数据的未使用位。因此,任何 Base64 表示形式始终以 0、1 或 2 个符号结尾。因此,base64 编码值永远不可能有a-z+/===除了末尾之外不能有任何地方。事实证明这很重要,如下所示。
符号的选择+ / =对于 URL 来说是很糟糕的,因为在 url 转义(也称为 url 编码或百分比编码)方面,许多用户代理(浏览器和 HTTP 客户端库)错误地处理它们,导致了歧义。
有时, the+被认为等同于%20(空格),其他时候,它被转义为%2B... the=用于分隔查询字符串中的字段,因此某些用户代理将其转义为%3D...,有时, the/可能被转义为%2F...所有这些都会导致互操作性噩梦。
(即使是 S3 本身也至少存在与不正确的 url 转义相关的错误,该错误已经存在太久了,现在无法修复,因为它会破坏为预测 S3 的不正确行为而编写的所有代码。但是这个与当前问题无关。)
CloudFront 的设计者巧妙地解决了这个问题。
CloudFront 对三个可能有问题的字符进行音译,如下所示:
+ => -
/ => _
= => ~
这是可行的,因为 URL 中的字符- _ ~不太容易出错。
但不知何故,在你的代码中,这个翻译是错误的。
&Signature=...~ONsEvaR1jyyOPt6y9Nos8yA__&Key-...
这绝对是错误的。签名中间~的 不可能是有效的。如上所述,~is=和 that 只能在Base64 编码结束时有效。这意味着__签名和策略末尾的 也是错误的,实际上应该是~~。
?Policy=ey...X19fQ__&Signature=
您可以通过交换它们来部分确认这一点。__将策略末尾的更改为~~,您会发现不再看到该Malformed Policy错误,因为这似乎是该策略的唯一问题。
不幸的是,由于该策略不包含任何~或-,因此无法得出关于哪些字符替换是使签名有效所必需的结论 - 这并不是正确的解决方案,但它实际上应该有效。问题是,我们不知道是否只有~和_相互转置,或者是否所有三个(包括-)都不正确。
但这显然是生成最终 URL 的实际代码的问题,而不是您提供给它的 JSON 策略文档的问题。