Questa pagina descrive un algoritmo per l'implementazione del processo di firma V4 in modo da poter creare URL firmati con chiave RSA di Cloud Storage nel tuo flusso di lavoro, utilizzando un linguaggio di programmazione a tua scelta.
Prima di iniziare
Prima di creare un programma che implementa la procedura di firma V4, devi completare i seguenti passaggi:
Crea un account di servizio. Se hai già un account di servizio, puoi saltare questo passaggio. Per ulteriori informazioni sugli account di servizio, consulta la panoramica degli account di servizio.
Assegna all'account di servizio l'autorizzazione sufficiente in modo che possa eseguire la richiesta effettuata dall'URL firmato.
Ad esempio, se l'URL firmato consente a un utente di leggere i dati dell'oggetto, anche l'account di servizio deve disporre dell'autorizzazione per leggere i dati dell'oggetto.
Se l'algoritmo di firma che intendi utilizzare non è integrato in Google Cloud, genera una nuova chiave privata o disponi di una chiave privata esistente per l'account di servizio. La chiave può essere in formato JSON o PKCS12.
Algoritmo per la firma degli URL
Il programma deve includere i seguenti passaggi:
Costruisci la richiesta canonica come stringa. La richiesta canonica definisce gli elementi che gli utenti devono includere nella richiesta quando utilizzano il tuo URL firmato.
Per informazioni dettagliate sulle parti e sul formato richiesti, consulta la sezione Richieste canoniche.
Costruisci la stringa da firmare. La stringa da firmare è la base per creare una firma e include il valore hash codificato esadecimale della richiesta canonica.
Per informazioni dettagliate sul formato della stringa da firmare, consulta la sezione Firme.
Firma la stringa da firmare utilizzando una firma RSA con SHA-256. Il risultato di questa firma è la firma della richiesta. Esistono diverse opzioni per la firma:
Puoi utilizzare il metodo IAM
signBlob
fornito da Google Cloud. Per utilizzare questo metodo, devi abilitare l'API Service Account Credentials.Puoi utilizzare un linguaggio di programmazione che dispone di una libreria per l'esecuzione di firme RSA.
Costruisci l'URL firmato utilizzando la seguente concatenazione:
HOSTNAME + PATH_TO_RESOURCE + "?" + CANONICAL_QUERY_STRING + "&X-Goog-Signature=" + REQUEST_SIGNATURE
L'URL firmato è composto dai seguenti componenti:
HOSTNAME: dovrebbe essere
https://storage.googleapis.com
.PATH_TO_RESOURCE: deve corrispondere al valore utilizzato per costruire la richiesta canonica.
CANONICAL_QUERY_STRING: deve corrispondere ai valori utilizzati nella costruzione della richiesta canonica.
REQUEST_SIGNATURE: questo è l'output dell'utilizzo di una firma RSA nel passaggio precedente.
Ecco un esempio di URL completo:
https://storage.googleapis.com/example-bucket/cat.jpeg?X-Goog-Algorithm=GOOG4- RSA-SHA256&X-Goog-Credential=example%40example-project.iam.gserviceaccount.com %2F20181026%2Fus%2Fstorage%2Fgoog4_request&X-Goog-Date=20181026T211942Z&X-Goog -expires=3600&X-Goog-Signedheaders=host&X-Goog-Signature=2d2a6f5055eb004b8690b 9479883292ae7450cdc15f17d7f99bc49b916f9e7429106ed7e5858ae6b4ab0bbbdb1a8ccc364d ad3a0da2caebd30887a70c5b2569d089ceb8afbde3eed4dff5086f0db5483998c175980991fe89 9fbd2cd8cb813b00165e8d56e0a8aa7b3d7a12ee1baa8400611040f05b50a1a8eab5ba223fe137 5747748de950ec7a4dc50f8382a6ffd4994ac42498d7daa703d9a414d4475154d0e7edaa92d4f2 507d92c1f7e8efa7cab64df68b5df48575b9259d8d0bdb5dc752bdf07bd162d98ff2924f2e4a26 fa6b3cede73ad5333c47d146a21c2ab2d97115986a12c68ff37346d6c2ca83e56b8ec8ad956327 10b489b75c35697d781c38e
Programma di esempio Python
Puoi utilizzare le librerie client di Cloud Storage per creare URL firmati per molti linguaggi di programmazione comuni. Per esempi, consulta la sezione Procedura di firma V4 con gli strumenti di Cloud Storage.
Il seguente esempio mostra un'implementazione dell'algoritmo per la firma degli URL che non utilizza le librerie client di Cloud Storage. L'esempio utilizza il linguaggio di programmazione Python, ma può essere adattato al linguaggio di tua scelta.
Passaggi successivi
- Scopri come firmare gli URL con gli strumenti di Cloud Storage, come le librerie client o Google Cloud CLI.
- Scopri di più sugli URL firmati.
- Scopri di più sulle richieste canoni, che sono alla base degli URL firmati.