7

.net を使用している人は、CloudFront プライベート コンテンツで使用する署名に署名する方法を実際に考え出したことがありますか? 数日間試行した後、アクセスが拒否されました。

私は次のコードのバリエーションを使用しており、OpenSSL.Net と AWSSDK も使用してみましたが、RSA-SHA1 の署名方法はまだありません。

署名(データ)は次のようになります

{"Statement":[{"Resource":"http://xxxx.cloudfront.net/xxxx.jpg","Condition":​{"DateLessThan":​{"AWS:EpochTime":1266922799}}}]}

更新: 上記の署名で単一のスペースを削除することで、これらすべてを解決しました。

もっと早く気づいていれば!

このメソッドは、既定の URL で使用する署名に署名しようとします。そのため、バリエーションには、has で使用されるパディングのチャンディングと、明らかに OpenSSL がこのように行うように署名する前に byte[] を反転することが含まれています。

public string Sign(string data)
{
   using (SHA1Managed SHA1 = new SHA1Managed())
   {
      RSACryptoServiceProvider provider = new RSACryptoServiceProvider();
      RSACryptoServiceProvider.UseMachineKeyStore = false;

      // Amazon PEM converted to XML using OpenSslKey
      provider.FromXmlString("<RSAKeyValue><Modulus>....."); 

      byte[] plainbytes = System.Text.Encoding.UTF8.GetBytes(data);

      byte[] hash = SHA1.ComputeHash(plainbytes);
      //Array.Reverse(sig); // I have see some examples that reverse the hash

      byte[] sig = provider.SignHash(hash, "SHA1");

     return Convert.ToBase64String(sig);
   }
}

CloudBerry Explorer を使用して CloudFront の既定のポリシー URL を生成することにより、コンテンツが S3 および CloudFront で正しくセットアップされていることを確認したことに注意してください。どうやってやっているの?

どんなアイデアでも大歓迎です。ありがとう

4

3 に答える 3

7

興味があれば、完全なコードは次のとおりです。

internal class CloudFrontSecurityProvider
{
    private readonly RSACryptoServiceProvider privateKey;
    private readonly string privateKeyId;
    private readonly SHA1Managed sha1 = new SHA1Managed();

    public CloudFrontSecurityProvider(string privateKeyId, string privateKey)
    {
        this.privateKey = new RSACryptoServiceProvider();
        RSACryptoServiceProvider.UseMachineKeyStore = false;

        this.privateKey.FromXmlString( privateKey );
        this.privateKeyId = privateKeyId;
    }
    private static int GetUnixTime(DateTime time)
    {
        DateTime referenceTime = new DateTime(1970, 1,1);
        return (int) (time - referenceTime).TotalSeconds;

    }

    public string GetCannedUrl(string url, DateTime expiration)
    {

        string expirationEpoch = GetUnixTime( expiration ).ToString();

        string policy =
            @"{""Statement"":[{""Resource"":""<url>"",""Condition"":{""DateLessThan"":{""AWS:EpochTime"":<expiration>}}}]}".
                Replace( "<url>", url ).
                Replace( "<expiration>", expirationEpoch );


        string signature = GetUrlSafeString( Sign( policy ) );

        return url + string.Format("?Expires={0}&Signature={1}&Key-Pair-Id={2}", expirationEpoch, signature, this.privateKeyId);
    }

    private static string GetUrlSafeString(byte[] data)
    {
        return Convert.ToBase64String( data ).Replace( '+', '-' ).Replace( '=', '_' ).Replace( '/', '~' );
    }

    private byte[] Sign(string data)
    {
            byte[] plainbytes = Encoding.UTF8.GetBytes(data);

            byte[] hash = sha1.ComputeHash(plainbytes);

            return this.privateKey.SignHash(hash, "SHA1");
    }

}
于 2010-03-30T12:21:48.007 に答える
3

私はそれを機能させるために私がしなければならなかったことのブログ投稿を完成させました:

http://anthonyvscode.com/2011/01/11/using-amazon-s3-cloudfront-to-distribute-your-private-files/

私がそれを立ち上げて実行していた問題を解決しようとしている他の人を助けるかもしれません

于 2011-01-17T03:57:55.947 に答える