Azure Service Bus 中的身份验证方式 Shared Access Signature

警告

您当前查看的页面是未经授权的转载!
如果当前版本排版错误,请前往查看最新版本:http://www.cnblogs.com/qin-nz/p/azure-service-bus-shared-access-signature-token.html

提示

更新时间:2016年01月01日。

今天踩了一个坑……

在 Azure 的 Service Bus (服务总线) 中,每个请求是需要保护一个验证信息的。
这个验证信息可以是SAS,也可以是ACS(已经不建议使用)。

注解

如果是可以安全保存Key的服务器想要访问 Service Bus,并且不是使用.NET Core,是不需要知道有SAS Token 这种东西存在的。

小技巧

Azure Storage 对于非public的文件方法也是使用这个的思想,但用于签名的具体参数不同。

Shared Access Signature 机制

Shared Access Signature ,从名字上不难看出,这是一个通过签名来共享访问权限的机制。
在 Service Bus 中,我们有一个名为 RootManageSharedAccessKey 的Key,
这个 Key 拥有这个 Service Bus 的完整访问权限。
我们可以为每个队列/主题/事件中心 创建独立的Key,甚至可以为他们分配不同的权限。

注解

在管理门户中看到的 Key 一般有两个, PrimaryKeySecondaryKey ,任意一个都可用。
两个的目的是方便定期更换密钥,建议使用 PrimaryKey

由于 Service Bus 的发送方可能是终端设备,比如IoT设备等,就这样把Key下发下去很不安全,因此可以 Shared Access Signature 机制。

当我们需要访问某个资源,如 https://qinnz.servicebus.windows.net/myeventhub/message 时,
我们用刚刚的key对这个资源和可访问的有效期进行签名,并把签名+资源+有效期三项内容发给服务器,服务器即可进行签名验证。

Shared Access Signature 生成过程

这里,我们就用 RootManageSharedAccessKey 密钥进行签名。

  • 对资源Uri进行encode,资源Uri可以是请求的资源或者它的父资源。
  • 得到过期时间的Unix时间戳(Azure Storage 使用的是人可识别的日期格式)
  • 将Key使用 UTF-8 编码转换为字节数组,作为签名密钥
  • 对资源uri和时间戳进行签名(使用 HMAC-SHA256 算法)
  • 生成签名字符串
 1

 2

 3

 4

 5

 6

 7

 8

 9

10

11

12

13

14
 
    public class SasToken

    {

        public static string Generator(string uri, DateTimeOffset expiryTime, string keyName, string keyValue)

        {

            string uriEncoded = Uri.EscapeDataString(uri.ToString());

            long expiry = expiryTime.ToUnixTimeSeconds();  //Only available on .Net 4.6

            byte[] key = Encoding.UTF8.GetBytes(keyValue);

            var hmac = new HMACSHA256(key);

            string stringToSign = uriEncoded + "\n" + expiry.ToString();

            string signature = Convert.ToBase64String(hmac.ComputeHash(Encoding.UTF8.GetBytes(stringToSign)));

            Debug.WriteLine(stringToSign);

            return $"SharedAccessSignature sr={uriEncoded}&sig={Uri.EscapeDataString(signature)}&se={expiry}&skn={keyName}";

        }

    }

嗯,上面就是我自己实现的……坑就在于第7行……

在微软官方文档中,他们也以为是 base64 编码的,我刚刚在Github上提交了这个 issue

事实上,微软官方是有C#类库来做这件事的(下面第15行);
我自己实现仅为了能在别的平台上能用。
下面说说官方给出的实现代码和我的代码做比较,注意替换自己的key和keyName:

 1

 2

 3

 4

 5

 6

 7

 8

 9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25
 
using System;

using Microsoft.ServiceBus;

namespace SharedAccessSignatureTokenGenerator

{

    class Program

    {

        private static string resource = "<your-resource>";

        private static string key = "<your-key-for-RootManageSharedAccessKey>";

        private static string keyName = "RootManageSharedAccessKey";

        static void Main(string[] args)

        {

            // Get Token using  Microsoft.ServiceBus.SharedAccessSignatureTokenProvider.GetSharedAccessSignature

            var token = SharedAccessSignatureTokenProvider.GetSharedAccessSignature(keyName, key, resource, new TimeSpan(24, 0, 0));

            //Get Token using my SasToken.Generator

            long se = long.Parse(token.Substring(token.IndexOf("se=") + 3, 10));

            var mytoken = SasToken.Generator(resource, new DateTimeOffset(2050, 1, 1, 0, 0, 0, new TimeSpan()), keyName, key);

            Console.WriteLine(mytoken);

            Console.WriteLine(token);

        }

    }

}

注解

由于我使用的 Uri.EscapeDataString 返回的是大写字母,造成签名值不一样;不过因为sr同样不一样,并没有什么影响。

可以使用 uriEncoded=uriEncoded.ToLower(); 使得两种方法签名一致。

访问测试

现在,就可以向 Service Bus 发送消息了。

注解

Event Hub 的API可以参考 这里

例如我们可以向 sb://qinnz.servicebus.windows.net/mail/messages 发送消息,
可以指定 srsb://qinnz.servicebus.windows.net/mail/messages
sb://qinnz.servicebus.windows.net (如果key的权限足够,那么此时的SAS具有整个servicebus的访问权限)
我们需要设定SAS的过期时间,已经你使用的密钥的名字,使Azure可以在服务器端验证签名。

最终,我们生成下面的字符串作为HTTP请求的Authorization请求头。

SharedAccessSignature sr=sb%3A%2F%2Fqinnz.servicebus.windows.net%2Fmail%2Fmessages

&sig=Augn3gnz4PEz%2Faaaaaaaaaaaaaaaaaaaacr%2B4vd2tWE%3D

&se=2000000000&skn=RootManageSharedAccessKey

下面我就用 Fiddler 模拟发送POST请求,内容如下(处于安全原因,我替换了签名值):

1

2

3

4

5

6

7
 
POST https://qinnz.servicebus.windows.net/mail/messages

Authorization: SharedAccessSignature sr=sb%3A%2F%2Fqinnz.servicebus.windows.net%2Fmail%2Fmessages&sig=Augn3gnz4PEz%2Faaaaaaaaaaaaaaaaaaaacr%2B4vd2tWE%3D&se=2000000000&skn=RootManageSharedAccessKey

Content-Type: application/atom+xml;type=entry;charset=utf-8

Host: qin-nz.servicebus.windows.net

Content-Length: 5

hello!

声明

Azure Service Bus 中的身份验证方式 Shared Access Signature 由 勤奋的小孩 创作,采用 知识共享 署名-相同方式共享 4.0 国际 许可协议进行许可。
本许可协议授权之外的使用权限可以从 http://space.cnblogs.com/msg/send/qin-nz 处获得。

Azure Service Bus 中的身份验证方式 Shared Access Signature的更多相关文章

  1. 【Azure 服务总线】Azure Service Bus中私信(DLQ - Dead Letter Queue)如何快速清理

    在博文ServiceBus 队列中死信(DLQ - Dead Letter Queue)问题一文中,介绍了服务总线产生私信的原因及可以通过代码的方式来清楚私信队列中的消息,避免长期占用空间(因为私信中 ...

  2. Azure Service Bus(二)在NET Core 控制台中如何操作 Service Bus Queue

    一,引言 上一篇讲到关于 Azure ServiceBus 的一些概念,讲到 Azure Service Bus(服务总线),其实也叫 "云消息服务",是微软在Azure 上提供的 ...

  3. Windows Azure Service Bus (3) 队列(Queue) 使用VS2013开发Service Bus Queue

    <Windows Azure Platform 系列文章目录> 在之前的Azure Service Bus中,我们已经介绍了Service Bus 队列(Queue)的基本概念. 在本章中 ...

  4. Windows Azure Service Bus Notification Hub推送通知

    前言 随着Windows Azure 在中国的正式落地,相信越来越多的人会体验到Windows Azure带来的强大和便利.在上一篇文章中, 我们介绍了如何利用Windows Azure中的Servi ...

  5. 【Azure 服务总线】详解Azure Service Bus SDK中接收消息时设置的maxConcurrentCalls,prefetchCount参数

    (Azure Service Bus服务总线的两大类消息处理方式: 队列Queue和主题Topic) 问题描述 使用Service Bus作为企业消息代理,当有大量的数据堆积再Queue或Topic中 ...

  6. 如何在ASP.NET Core中使用Azure Service Bus Queue

    原文:USING AZURE SERVICE BUS QUEUES WITH ASP.NET CORE SERVICES 作者:damienbod 译文:如何在ASP.NET Core中使用Azure ...

  7. asp.net中常用的几种身份验证方式

    转载:http://www.cnblogs.com/dinglang/archive/2012/06/03/2532664.html   前言 在B/S系统开发中,经常需要使用"身份验证&q ...

  8. 【服务总线 Azure Service Bus】ServiceBus 队列中死信(DLQ - Dead Letter Queue)问题

    Azure Service Bus 死信队列产生的原因 服务总线中有几个活动会导致从消息引擎本身将消息推送到 DLQ. 如 超过 MaxDeliveryCount 超过 TimeToLive 处理订阅 ...

  9. Windows Azure Service Bus (6) 中继(Relay On) 使用VS2013开发Service Bus Relay On

    <Windows Azure Platform 系列文章目录> 注意:本文介绍的是国内由世纪互联运维的Windows Azure服务. 项目文件请在这里下载. 我们在使用Azure平台的时 ...

随机推荐

  1. oracle 异常

    ORACLE 异常错误处理 本篇主要内容如下: 5.1 异常处理概念 5.1.1 预定义的异常处理 5.1.2 非预定义的异常处理 5.1.3 用户自定义的异常处理 5.1.4  用户定义的异常处理 ...

  2. 转 Visual C++ 将整合Clang

    原文见:http://www.solidot.org/story?sid=45898 微软在11月释出的Visual C++更新将整合Clang开源C和C++编译器,开发者将可以用Clang编译Win ...

  3. Endless Sky源码学习笔记-1

    难得遇到一个比较有趣的开源游戏,又是比较偏爱的太空背景,所以打算学习下源码. Endless Sky的作者是Michael Zahniser,是一个2D太空游戏.整个程序比较简洁明了,数据没有打包,游 ...

  4. sizeof 跟 strlen 的区别

    1.参数 sizeof是c/c++ 中的一个操作符,其作用是返回对象或数据类型所占的内存字节数. 用法:sizeof(对象).sizeof 对象.sizeof(类型) 如果类型做参数,返回的是该类型所 ...

  5. winform空间批量控制

    第一版: private void RefreshControl(PanelEx panel, bool enabled, bool isClear) { ; i < panel.Control ...

  6. ubuntu14.04安装bodhi桌面系统后,unity启动界面改变,如何还原

    按一下 ctrl + alt + f1 # 出現 tty11. sudo service lxdm stop或sudo /etc/init.d/lxdm stop如果出現錯誤訊息 不理它 繼續2. s ...

  7. oracle 表被锁定 杀死进程

    /*查出被锁biao*/ select b.owner,b.object_name,a.session_id,a.locked_mode from v$locked_object a,dba_obje ...

  8. 大话 JSON 之 JSONObject.getString(“”) 方法 和 JSONObject.optString(“”) 的区别

    运行以下代码: public static void main(String[] args) { JSONObject test = new JSONObject(); test.put(" ...

  9. ImageUtil(验证码数据生成工具类)

    登录界面时,常常会使用到验证码图片生成,程序如下: package util; import java.awt.Color; import java.awt.Font; import java.awt ...

  10. .net使用mvc模式开发web应用 模型与视图间的数据处理

    http://www.cnblogs.com/JeffreyZhao/archive/2009/02/27/mvc-use-strong-type-everywhere.html#3427764 本文 ...