我刚刚开始将我的Google云端存储代码从API 1.0版升级到2.0版,我遇到了一些麻烦。
在1.0版本中,我使用.p12文件,使用签名URL取得了巨大成功。但是,在新版本中已弃用,我必须使用Firebase / php-jwt,而不是使用JSON文件。
问题是它不起作用,我收到错误:
<?xml version='1.0' encoding='UTF-8'?><Error><Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you provided. Check your Google secret key and signing method.</Message>
<StringToSign>PUT
image/png
1483626991
/myBucket/folder/test.PNG</StringToSign></Error>
这是用于签名的简化代码。
$string = ($method . "\n" .
$contentMd5 . "\n" .
$contentType . "\n" .
$expiration . "\n" .
$file);
$signedURL = base64_encode(Firebase\JWT\JWT::encode($string,
file_get_contents($credentialsFilePath)));
收到signedURL后,我使用正确的数据构建一个URL。我从1.0和2.0更改的唯一部分是您对URL进行签名的部分。此外,我已经检查了响应中的字符串与我签名的字符串完全相同。
在版本1.0中,我签署了这样的URL:
$signedURL = base64_encode((new Google_Signer_P12(
file_get_contents($p12FilePath),
'notasecret'
))->sign($string));
所有这一切都让我相信我唱的是正确的内容,但却错误地使用了JWT功能。还有其他人这样做过吗?你是怎么做到的?
如果它有趣,这就是我构建的URL(与1.0一起使用):
$returnArr['url'] = "https://{$bucket}.commondatastorage.googleapis.com/"
. $prefix . '/' . rawurlencode($file)
. "?GoogleAccessId=" . rawurlencode($serviceEmail)
. "&Expires={$expiration}"
. "&Signature=" . rawurlencode($signature);
答案 0 :(得分:2)
查看JWT library的源代码,跳出来的第一件事,我在评论中注意到,你的有效负载应该是数组或对象,而不是字符串...“< strong> JSON 网络令牌“。
* @param object|array $payload PHP object or array
public static function encode($payload, $key, $alg = 'HS256', $keyId = null, $head = null)
其次,看起来你是双base64编码它... base128? :)
encode的返回值应该是连接在一起的三个Base64 url 字符串,因此您不需要再次执行此操作。
我试试看:
$payload = ['HTTP_Verb' => $method,
'Content_MD5' => $contentMd5,
'Content_Type' => $contentType,
'Expiration' => $expiration,
'Canonicalized_Resource' => $file];
$key = file_get_contents($credentialsFilePath);
$signedURL = Firebase\JWT\JWT::encode($payload, $key); //think base64_encode here is redundant.
参考:Overview of Signed URLs page。他们肯定不会在那些文档中解释得很好。 我假设你看过SDK?
如果您想要使用字符串路径,则需要使用带有SHA256 ... opensssl_sign的RSA签名进行签名,或者更容易依赖Google's PHP SDKs进行签名?
稍后......
好的,决定测试一下。看到Google Cloud有一个免费试用版。安装gsutil,阅读一堆文档。如果我理解这种JWT方法,该死的。分享,如果有人甚至可以提供有关该主题的文档。
此代码有效:
<?php
$method = 'GET';
$expires = '1503532674';
$container = '/example-bucket/cat.jpeg';
$payload = "{$method}\n\n\n{$expires}\n{$container}";
//assume you have this 'json' formatted key too? Otherwise just load the private key file as is.
$key = file_get_contents('~/oas_private_key.json');
$key = json_decode($key, true);
$key = $key['private_key'];
//if sucessful the encypted string is assigned to $signature
openssl_sign($payload, $signature, $key, OPENSSL_ALGO_SHA256);
$signature = urlencode(base64_encode($signature));
die("https://storage.googleapis.com/{$container}?GoogleAccessId=oastest@foo.iam.gserviceaccount.com&Expires={$expires}&Signature={$signature}");
最后没有“SignatureDoesNotMatch”错误!就个人而言,我会使用SDK。 init的一点点,您可以执行以下操作:
$url = $object->signedUrl(new Timestamp(new DateTime('tomorrow')), [
'method' => 'PUT'
]);
它还可以在将来更容易升级。