登录
首页 >  文章 >  前端

AzureBlobSAS令牌生成与签名问题解决

时间:2025-07-31 20:57:33 263浏览 收藏

还在为Azure Blob存储SAS令牌生成和签名错误而烦恼?本文将深入解析如何使用JavaScript生成Azure Blob存储的共享访问签名(SAS)令牌,并有效排查常见的“Signature did not match”签名不匹配错误。文章详细介绍了SAS令牌的构成要素、签名字符串的正确生成方法,以及避免错误配置的关键技巧,助您轻松构建可用的SAS URL,安全地授予对Azure存储资源的有限访问权限。通过本文,你将掌握如何规范化资源字符串、正确设置资源类型参数,并确保时间格式的准确性,从而避免签名不匹配的问题,实现高效、安全的云存储访问。

Azure Blob 存储 SAS 令牌生成及签名错误排查指南

本文旨在帮助开发者理解如何使用 JavaScript 生成 Azure Blob 存储的共享访问签名 (SAS) 令牌,并解决常见的签名不匹配错误。通过本文,你将了解 SAS 令牌的构成、签名字符串的生成方法,以及如何避免常见的错误配置,从而成功生成可用的 SAS URL。

理解 Azure Blob 存储 SAS 令牌

共享访问签名 (SAS) 令牌是一种安全地授予对 Azure 存储资源的有限访问权限的机制。它允许你控制谁可以访问你的数据,以及他们可以访问多长时间。SAS 令牌包含所有必要的信息,以便授权请求,而无需共享你的帐户密钥。

SAS 令牌主要用于以下场景:

  • 允许客户端直接上传文件到 Blob 存储,而无需通过你的服务器。
  • 授予对 Blob 存储中特定文件的只读访问权限。
  • 限制对存储资源的访问,仅在特定时间段内有效。

生成 SAS 令牌的关键步骤

生成 SAS 令牌主要涉及以下几个步骤:

  1. 构建签名字符串: 这是最关键的一步,它将用于生成签名。签名字符串包含有关请求的信息,例如权限、开始时间和结束时间、规范化资源等。
  2. 使用存储帐户密钥对签名字符串进行哈希处理: 使用 HMAC-SHA256 算法和你的存储帐户密钥对签名字符串进行哈希处理。
  3. 对哈希值进行 Base64 编码: 将哈希结果进行 Base64 编码,得到签名。
  4. 构建 SAS 令牌: 将签名以及其他参数(例如版本、权限、资源类型等)添加到 URL 中。

解决 "Signature did not match" 错误

"Signature did not match" 错误表明生成的签名与 Azure 存储服务计算出的签名不匹配。这通常是由于签名字符串构建不正确引起的。以下是一些常见的导致签名不匹配的原因以及解决方法:

  1. 规范化资源字符串错误: 确保规范化资源字符串以服务类型(blob)开头,并包含帐户名称和容器/Blob 的完整路径。

    正确的格式应为:/blob///

    错误示例:/ACCOUNTNAME/CONTAINERNAME/PATH_TO_FILE

    正确示例:/blob/ACCOUNTNAME/CONTAINERNAME/PATH_TO_FILE

  2. 资源类型 (sr) 参数不正确: sr 参数指定了签名资源的类型。对于 Blob 容器,应设置为 c。对于单个 Blob,应设置为 b。确保根据你的使用场景设置正确的 sr 值。

    // 对于 Blob 容器
    var sr = 'c';
    
    // 对于单个 Blob
    // var sr = 'b';
  3. 签名字符串的换行符: 签名字符串中的换行符必须是 \n。

  4. 时间格式不正确: 开始时间 (st) 和结束时间 (se) 必须采用 ISO 8601 UTC 格式。

  5. 编码问题: 确保对签名进行 URL 编码。

示例代码(JavaScript)

以下是一个使用 JavaScript 和 crypto-js 库生成 SAS 令牌的示例代码:

var CryptoJS = require("crypto-js");

var blobAccount = 'YOUR_ACCOUNT_NAME';
var blobContainer = 'YOUR_CONTAINER_NAME/YOUR_BLOB_PATH';
var storageAccountKey = 'YOUR_STORAGE_ACCOUNT_KEY';

// 计算过期时间
var currentDate = new Date();
var expiration = new Date(currentDate.getTime() + (100 * 365 * 24 * 60 * 60 * 1000));

var st = currentDate.toISOString().slice(0,19)+'Z';
var se = expiration.toISOString().slice(0,19)+'Z';
var sv = '2018-11-09';
var sp = 'r'; // 读权限
var sr = 'c'; // 资源类型:容器

var canonicalizedResource = "/blob/"+blobAccount+"/"+blobContainer;
var stringToSign = sp+'\n'+st+'\n'+se+'\n'+canonicalizedResource+'\n'+sv+'\n'+sr+'\n'+'\n'+'\n'+'\n'+'\n'+'\n'+'\n'+'\n';
var signature = CryptoJS.HmacSHA256(stringToSign, CryptoJS.enc.Base64.parse(storageAccountKey)).toString(CryptoJS.enc.Base64);
var sasToken = encodeURIComponent(signature)+"&st="+st.replaceAll(':','%3A')+"&se="+se.replaceAll(':','%3A')+"&sv="+sv+"&sp="+sp+"&sr="+sr;

var url = "https://"+blobAccount+".blob.core.windows.net/"+blobContainer+"?"+"sig="+sasToken;

console.log(sasToken);
console.log(url);

注意事项:

  • 替换代码中的 YOUR_ACCOUNT_NAME、YOUR_CONTAINER_NAME/YOUR_BLOB_PATH 和 YOUR_STORAGE_ACCOUNT_KEY 为你的实际值。
  • 根据你的需求修改权限 (sp) 和资源类型 (sr)。
  • 建议使用环境变量或配置文件安全地存储你的存储帐户密钥,而不是直接在代码中硬编码。
  • 请注意 sv(服务版本)参数,确保与你的 Azure 存储帐户兼容。

总结

生成 Azure Blob 存储的 SAS 令牌需要仔细构建签名字符串并正确设置参数。通过理解 SAS 令牌的构成,并遵循本文提供的步骤,你可以避免常见的错误,并成功生成可用的 SAS URL。在遇到 "Signature did not match" 错误时,请仔细检查规范化资源字符串、资源类型参数和时间格式,以确保它们正确无误。 通过示例代码,你可以快速上手,并根据你的实际需求进行调整。

今天关于《AzureBlobSAS令牌生成与签名问题解决》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于的内容请关注golang学习网公众号!

相关阅读
更多>
最新阅读
更多>
课程推荐
更多>