3

亚马逊产品广告 API(前身为 Amazon Associates Web Service 或 Amazon AWS)实施了一项新规则,即在 2009 年 8 月 15 日之前,所有向其发送的 Web 服务请求都必须签名。他们在他们的网站上提供了示例代码,展示了如何使用 REST 和 SOAP 在 C# 中执行此操作。我正在使用的实现是 SOAP。你可以在这里找到示例代码,我不包括它,因为有相当数量。

我遇到的问题是他们的示例代码使用 WSE 3,而我们当前的代码不使用 WSE。有谁知道如何仅使用 WSDL 中自动生成的代码来实现此更新?如果我不需要的话,我现在不想切换到 WSE 3 的东西,因为这个更新更像是一个快速的补丁来阻止我们,直到我们可以在当前的开发版本中完全实现它(八月第三,他们开始在实时环境中丢弃五分之一的请求,如果他们没有签名,这对我们的应用程序来说是个坏消息)。

下面是对 SOAP 请求进行实际签名的主要部分的片段。

class ClientOutputFilter : SoapFilter
{
    // to store the AWS Access Key ID and corresponding Secret Key.
    String akid;
    String secret;

    // Constructor
    public ClientOutputFilter(String awsAccessKeyId, String awsSecretKey)
    {
        this.akid = awsAccessKeyId;
        this.secret = awsSecretKey;
    }

    // Here's the core logic:
    // 1. Concatenate operation name and timestamp to get StringToSign.
    // 2. Compute HMAC on StringToSign with Secret Key to get Signature.
    // 3. Add AWSAccessKeyId, Timestamp and Signature elements to the header.
    public override SoapFilterResult ProcessMessage(SoapEnvelope envelope)
    {
        var body = envelope.Body;
        var firstNode = body.ChildNodes.Item(0);
        String operation = firstNode.Name;

        DateTime currentTime = DateTime.UtcNow;
        String timestamp = currentTime.ToString("yyyy-MM-ddTHH:mm:ssZ");

        String toSign = operation + timestamp;
        byte[] toSignBytes = Encoding.UTF8.GetBytes(toSign);
        byte[] secretBytes = Encoding.UTF8.GetBytes(secret);
        HMAC signer = new HMACSHA256(secretBytes);  // important! has to be HMAC-SHA-256, SHA-1 will not work.

        byte[] sigBytes = signer.ComputeHash(toSignBytes);
        String signature = Convert.ToBase64String(sigBytes); // important! has to be Base64 encoded

        var header = envelope.Header;
        XmlDocument doc = header.OwnerDocument;

        // create the elements - Namespace and Prefix are critical!
        XmlElement akidElement = doc.CreateElement(
            AmazonHmacAssertion.AWS_PFX, 
            "AWSAccessKeyId", 
            AmazonHmacAssertion.AWS_NS);
        akidElement.AppendChild(doc.CreateTextNode(akid));

        XmlElement tsElement = doc.CreateElement(
            AmazonHmacAssertion.AWS_PFX,
            "Timestamp",
            AmazonHmacAssertion.AWS_NS);
        tsElement.AppendChild(doc.CreateTextNode(timestamp));

        XmlElement sigElement = doc.CreateElement(
            AmazonHmacAssertion.AWS_PFX,
            "Signature",
            AmazonHmacAssertion.AWS_NS);
        sigElement.AppendChild(doc.CreateTextNode(signature));

        header.AppendChild(akidElement);
        header.AppendChild(tsElement);
        header.AppendChild(sigElement);

        // we're done
        return SoapFilterResult.Continue;
    }
}

在进行实际的 Web 服务调用时会这样调用

// create an instance of the serivce
var api = new AWSECommerceService();

// apply the security policy, which will add the require security elements to the
// outgoing SOAP header
var amazonHmacAssertion = new AmazonHmacAssertion(MY_AWS_ID, MY_AWS_SECRET);
api.SetPolicy(amazonHmacAssertion.Policy());
4

4 回答 4

7

我最终更新了代码以使用 WCF,因为这就是我一直在处理的当前开发版本中的内容。然后我使用了一些发布在亚马逊论坛上的代码,但让它更容易使用。

更新:新的更易于使用的代码,让您仍然可以对所有内容使用配置设置

在我之前发布的代码中,以及我在其他地方看到的代码中,当创建服务对象时,构造函数覆盖之一用于告诉它使用 HTTPS,给它 HTTPS url 并手动附加将执行的消息检查器签字。不使用默认构造函数的缺点是您无法通过配置文件配置服务。

我已经重做了这段代码,所以你可以继续使用默认的、无参数的构造函数并通过配置文件配置服务。这样做的好处是您不必重新编译代码来使用它,或者在部署后对 maxStringContentLength 进行更改(这就是导致此更改发生的原因以及发现在代码中执行所有操作的缺点) . 我还稍微更新了签名部分,这样您就可以告诉它使用什么散列算法以及提取动作的正则表达式。

这两个更改是因为并非所有来自 Amazon 的 Web 服务都使用相同的哈希算法,并且可能需要以不同的方式提取 Action。这意味着您只需更改配置文件中的内容即可为每种服务类型重用相同的代码。

public class SigningExtension : BehaviorExtensionElement
{
    public override Type BehaviorType
    {
        get { return typeof(SigningBehavior); }
    }

    [ConfigurationProperty("actionPattern", IsRequired = true)]
    public string ActionPattern
    {
        get { return this["actionPattern"] as string; }
        set { this["actionPattern"] = value; }
    }

    [ConfigurationProperty("algorithm", IsRequired = true)]
    public string Algorithm
    {
        get { return this["algorithm"] as string; }
        set { this["algorithm"] = value; }
    }

    [ConfigurationProperty("algorithmKey", IsRequired = true)]
    public string AlgorithmKey
    {
        get { return this["algorithmKey"] as string; }
        set { this["algorithmKey"] = value; }
    }

    protected override object CreateBehavior()
    {
        var hmac = HMAC.Create(Algorithm);
        if (hmac == null)
        {
            throw new ArgumentException(string.Format("Algorithm of type ({0}) is not supported.", Algorithm));
        }

        if (string.IsNullOrEmpty(AlgorithmKey))
        {
            throw new ArgumentException("AlgorithmKey cannot be null or empty.");
        }

        hmac.Key = Encoding.UTF8.GetBytes(AlgorithmKey);

        return new SigningBehavior(hmac, ActionPattern);
    }
}

public class SigningBehavior : IEndpointBehavior
{
    private HMAC algorithm;

    private string actionPattern;

    public SigningBehavior(HMAC algorithm, string actionPattern)
    {
        this.algorithm = algorithm;
        this.actionPattern = actionPattern;
    }

    public void Validate(ServiceEndpoint endpoint)
    {
    }

    public void AddBindingParameters(ServiceEndpoint endpoint, BindingParameterCollection bindingParameters)
    {
    }

    public void ApplyDispatchBehavior(ServiceEndpoint endpoint, EndpointDispatcher endpointDispatcher)
    {
    }

    public void ApplyClientBehavior(ServiceEndpoint endpoint, ClientRuntime clientRuntime)
    {
        clientRuntime.MessageInspectors.Add(new SigningMessageInspector(algorithm, actionPattern));
    }
}

public class SigningMessageInspector : IClientMessageInspector
{
    private readonly HMAC Signer;

    private readonly Regex ActionRegex;

    public SigningMessageInspector(HMAC algorithm, string actionPattern)
    {
        Signer = algorithm;
        ActionRegex = new Regex(actionPattern);
    }

    public void AfterReceiveReply(ref Message reply, object correlationState)
    {
    }

    public object BeforeSendRequest(ref Message request, IClientChannel channel)
    {
        var operation = GetOperation(request.Headers.Action);
        var timeStamp = DateTime.UtcNow.ToString("yyyy-MM-ddTHH:mm:ssZ");
        var toSignBytes = Encoding.UTF8.GetBytes(operation + timeStamp);
        var sigBytes = Signer.ComputeHash(toSignBytes);
        var signature = Convert.ToBase64String(sigBytes);

        request.Headers.Add(MessageHeader.CreateHeader("AWSAccessKeyId", Helpers.NameSpace, Helpers.AWSAccessKeyId));
        request.Headers.Add(MessageHeader.CreateHeader("Timestamp", Helpers.NameSpace, timeStamp));
        request.Headers.Add(MessageHeader.CreateHeader("Signature", Helpers.NameSpace, signature));

        return null;
    }

    private string GetOperation(string request)
    {
        var match = ActionRegex.Match(request);
        var val = match.Groups["action"];
        return val.Value;
    }
}

要使用它,您无需对现有代码进行任何更改,如果需要,您甚至可以将签名代码放入整个其他程序集中。您只需要像这样设置配置部分(注意:版本号很重要,没有它匹配代码将无法加载或运行)

<system.serviceModel>
  <extensions>
    <behaviorExtensions>
      <add name="signer" type="WebServices.Amazon.SigningExtension, AmazonExtensions, Version=1.3.11.7, Culture=neutral, PublicKeyToken=null" />
    </behaviorExtensions>
  </extensions>
  <behaviors>
    <endpointBehaviors>
      <behavior name="AWSECommerceBehaviors">
        <signer algorithm="HMACSHA256" algorithmKey="..." actionPattern="\w:\/\/.+/(?&lt;action&gt;.+)" />
      </behavior>
    </endpointBehaviors>
  </behaviors>
  <bindings>
    <basicHttpBinding>
      <binding name="AWSECommerceServiceBinding" closeTimeout="00:01:00" openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00" allowCookies="false" bypassProxyOnLocal="false" hostNameComparisonMode="StrongWildcard" messageEncoding="Text" textEncoding="utf-8" transferMode="Buffered" useDefaultWebProxy="true" maxBufferSize="65536" maxBufferPoolSize="524288" maxReceivedMessageSize="65536">
        <readerQuotas maxDepth="32" maxStringContentLength="16384" maxArrayLength="16384" maxBytesPerRead="4096" maxNameTableCharCount="16384" />
        <security mode="Transport">
          <transport clientCredentialType="None" proxyCredentialType="None" realm="" />
          <message clientCredentialType="UserName" algorithmSuite="Default" />
        </security>
      </binding>
    </basicHttpBinding>
  </bindings>
  <client>
    <endpoint address="https://ecs.amazonaws.com/onca/soap?Service=AWSECommerceService" behaviorConfiguration="AWSECommerceBehaviors" binding="basicHttpBinding" bindingConfiguration="AWSECommerceServiceBinding" contract="WebServices.Amazon.AWSECommerceServicePortType" name="AWSECommerceServicePort" />
  </client>
</system.serviceModel>
于 2009-08-01T16:13:19.740 回答
1

嘿布莱恩,我在我的应用程序中处理同样的问题。我正在使用 WSDL 生成的代码——事实上我今天再次生成它以确保最新版本。我发现使用 X509 证书签名是最直接的方法。经过几分钟的测试,到目前为止,它似乎工作正常。本质上你改变:

AWSECommerceService service = new AWSECommerceService();
// ...then invoke some AWS call

至:

AWSECommerceService service = new AWSECommerceService();
service.ClientCertificates.Add(X509Certificate.CreateFromCertFile(@"path/to/cert.pem"));
// ...then invoke some AWS call

bytesblocks.com 上的 Viper 发布了更多详细信息,包括如何获取 Amazon 为您生成的 X509 证书。

编辑:正如这里的讨论所表明的,这实际上可能不会签署请求。当我了解更多时会发布。

编辑:这似乎根本没有签署请求。相反,它似乎需要 https 连接,并使用证书进行 SSL 客户端身份验证。SSL 客户端身份验证是 SSL 的一个不常用的功能。如果亚马逊产品广告 API 支持它作为身份验证机制,那就太好了!不幸的是,情况似乎并非如此。证据是双重的:(1)它不是记录在案的身份验证方案之一,(2)您指定的证书无关紧要。

即使在宣布 2009 年 8 月 15 日截止日期之后,亚马逊仍然没有对请求执行身份验证,这增加了一些混乱。这使得在添加证书时请求似乎正确传递,即使它可能不会增加任何值。

查看 Brian Surowiec 的答案,了解可行的解决方案。我在这里留下这个答案是为了记录吸引人但显然失败的方法,因为我仍然可以在博客和亚马逊论坛中看到它的讨论。

于 2009-07-30T05:51:15.643 回答
0

您可以使用ProtectionLevel属性来执行此操作。请参阅了解保护级别

于 2009-07-30T05:43:18.157 回答
0

签名的肥皂实现有点讨厌。我是在 PHP 中完成的,以便在http://www.apisigning.com/上使用。我最终发现的技巧是 Signature、AWSAccessKey 和 Timestamp 参数需要放在 SOAP 标头中。此外,签名只是操作+时间戳的哈希,不需要包含任何参数。

我不确定它如何适合 C#,但认为它可能有一些用处

于 2009-08-27T21:03:46.427 回答