V2 签名流程

本页面提供了使用 V2 签名流程（一种对存储桶和对象执行查询字符串身份验证的机制）时的签名网址概览。借助签名网址，您可以向拥有该网址的任何人提供有时限的读取或写入权限（无论他们是否拥有用户账号）。

需要签名的字符串的各个组成部分

使用程序创建签名网址时，程序会构造一个需要签名的字符串。该字符串应在您的程序中定义为如下形式：

StringToSign = HTTP_Verb + "\n" +
               Content_MD5 + "\n" +
               Content_Type + "\n" +
               Expires + "\n" +
               Canonicalized_Extension_Headers +
               Canonicalized_Resource

组成此结构的各个组成部分如下表所述：

使用 App Engine App Identity 服务对字符串进行签名

使用程序创建签名网址时，您可以在程序中对字符串签名，也可以使用 App Engine Identity 服务（该服务使用 App Engine 的服务账号凭据）从 App Engine 应用中进行签名。例如，借助 Python App Identity API，您可以执行以下操作：

• 使用 google.appengine.api.app_identity.sign_blob() 从您构造的字符串中对字节签名，然后在组合签名网址时提供所需的 Signature。

• 使用 google.appengine.api.app_identity.get_service_account_name() 检索服务账号名称（这是您在组合签名网址时需要用到的 GoogleAccessId）。

有关其他语言的支持，请参阅 Java 版 App Identity API 概览、PHP 版 App Identity API 概览和 App Identity Go 函数。

App Identity 服务在签署 blob 时会轮替私钥。从 App Identity 服务生成的签名网址至少可以使用一小时，建议将其用于向用户授予资源的短期访问权限。

规范扩展标头

使用程序创建签名网址时，您会构造消息的“规范扩展标头”部分，为了执行此操作，您需要连接以 x-goog- 开头的所有扩展（自定义）标头。但是，您无法执行简单连接。在创建标头时，请牢记以下算法：

1. 将所有自定义标头名称设为小写。

2. 使用按字典顺序排序的代码点值，按标头名称对所有自定义标头排序。

3. 移除 x-goog-encryption-key 和 x-goog-encryption-key-sha256 标头（如果存在）。这些标头包含敏感信息（不能包含在要签名的字符串中）；但是，在使用生成的签名网址的任何请求中，仍然必须使用这些标头。

4. 创建一个标头名称（带有逗号分隔的值列表）以消除重复标头名称。确保值之间没有空格，并确保英文逗号分隔列表的顺序与标头在请求中显示的顺序匹配。如需了解详情，请参阅 RFC 7230 第 3.2 节。

5. 将折叠空格或换行符（CRLF 或 LF）替换为一个空格。如需详细了解折叠空格，请参阅 RFC 7230 第 3.2.4 节。

6. 移除标头名称后面出现的冒号周围的所有空格。

7. 向每个自定义标头附加换行符"\n" (U+000A)。

8. 连接所有自定义标头。

规范资源

使用程序创建签名网址时，您会构造消息的“规范化资源”部分，要执行此操作，您需要连接请求所使用的资源路径（存储桶、对象和子资源）。在创建资源时，请牢记以下几点：

• 规范资源是主机名后面的所有内容。例如，如果 Cloud Storage 网址为 https://storage.googleapis.com/example-bucket/cat-pics/tabby.jpeg，则规范资源为 /example-bucket/cat-pics/tabby.jpeg。

• 如果请求的范围限定为某个子资源（例如 ?cors），请将此子资源（包含问号）添加到字符串的末尾。

• 确保逐字复制 HTTP 请求路径：也就是说，您应在您创建的字符串中包含所有网址编码（百分号）。此外，还要确保仅包含指定了子资源（例如 cors）的查询字符串参数。请勿包含 ?prefix、?max-keys、?marker、?delimiter 等查询字符串参数。