密钥对认证

您可以使用 secret_id 和 secret_key 对您的 API 进行认证管理。secret_id 和 secret_key 成对出现，这里将它们将成为 secret_id/secret_key 对。

在使用 secret_id/secret_key 对认证前，需要先创建好一对 secret_id 和 secret_key。

密钥对鉴权 API

创建 API 时，您可以选择鉴权类型为“密钥对鉴权”。当选择密钥对鉴权类型的 API 发布时，只有使用正确密钥对发起的访问能够通过 API 网关的校验，不携带密钥或携带错误的密钥对不能通过 API 网关的鉴权。 API 创建完成后，您需要使用 “使用计划” 功能将密钥对与 API 或 API所在服务进行绑定。配置详情请参考 使用计划。

密钥内容:

• 【secret_id】示例：AKIDCg*****j548pN 用于标识所使用的哪个密钥，并参与签名计算，传输过程中体现。
• 【secret_key】示例：ZxF2wh*****N2oPrC 用于签名计算，传递过程中无体现。

计算方法:

最终发送内容

最终发送的 http 请求内至少包含两个 header：Date 和 Authorization，可以包含更多 header。

Date header 的值为 GMT 格式的 http 请求构造时间，例如 Fri, 09 Oct 2015 00:00:00 GMT。

Authorization header 的形如 Authorization: hmac id="secret_id", algorithm="hmac-sha1", headers="date source", signature="Base64(HMAC-SHA1(signing_str, secret_key))"。

现对 Authorization 内的各部分分别解释：

• hmac：固定内容，用于标识计算方法
• id：其值为密钥内的 secret_id 的值
• algorithm：加密算法，当前支持的是 hmac-sha1
• headers：参与签名计算的 header，按实际计算时的顺序排列
• signature：计算签名后得到的签名

签名计算方法

签名由两部分并根据指定加密算法进行计算，以 hmac-sha1 算法举例：

签名内容:

首先生成签名内容，签名内容由自定义的 header 组成，header 内建议至少包含 date,可以包含更多其他 header。

header 按如下要求转换后按顺序排列：

• header 名转换为小写，跟上 ascii字符 和 ascii空格字符
• 然后附加 header 值
• 如果不是最后一条需构造签名的 header，附上 ascii换行字符\n

例如有两个 header 参与构建签名内容：

Date:Fri, 09 Oct 2015 00:00:00 GMT
Source:AndriodApp

生成的签名内容为：

date: Fri, 09 Oct 2015 00:00:00 GMT\nsource:AndriodApp

计算签名:

将上一步生成的签名内容，使用 Base64(HMAC-SHA1(signing_str, secret_key)) 算法进行计算生成签名，也就是：

• 使用签名内容作为输入信息，密钥内的secret_key内容作为密钥，使用HMAC-SHA1算法进行计算得出加密签名内容
• 使用 Base64 对算出的加密签名内容进行转换生成可传递的签名内容

使用签名:

如 最终发送内容 中所示的一样，在 Authorization header 的 signature 处填入上一步计算完成后的签名。

注意事项:

header对应

Authorization 中 headers 位置填入的需要是参与计算签名的 header 的名称，并建议转换为小写，以 ascii 空格分隔。

签名内容生成

排列内容时，请注意 header 名后面跟的冒号和空格，如有遗失也可能导致校验无法通过。