私は、次のことを可能にする Web ページを作成しようとしています。
- msal-browser ライブラリを使用して Windows ID プラットフォーム ログイン ポップアップを生成し、ベアラー トークンを取得します。
- それを使用して、ブロブ レスト API からユーザー委任キーを取得し、
- キーを使用してユーザー委任 SAS を生成し、コンテナーの内容を一覧表示します。
SAS コードを生成するステップに到達しましたが、生成している署名が無効です。私は多くの答えを探しましたが、自分で問題を特定できず、助けが必要です.
ベアラートークンを取得し、ユーザー委任キーを取得しているポイントから始めます (これは機能します):
const blobDelegationKeyEndpoint =
"https://MYACCOUNT.blob.core.windows.net/?restype=service&comp=userdelegationkey";
let sasKeyOID = "";
let sasKeyTID = "";
let sasKeyStart = "";
let sasKeyExpiry = "";
let sasKeyService = "";
let sasKeyVersion = "";
let sasKeyValue = "";
btnDelegationKey.addEventListener("click", async () => {
const headers = new Headers();
headers.append("Authorization", bearer);
headers.append("x-ms-version", "2020-06-12");
const options = {
method: "POST",
headers: headers,
body: `<?xml version="1.0" encoding="utf-8"?>
<KeyInfo>
<Start>2021-03-27T09:20:00Z</Start>
<Expiry>2021-03-27T12:30:00Z</Expiry>
</KeyInfo> `,
};
fetch(blobDelegationKeyEndpoint, options)
.then((resp) => {
return resp.text();
})
.then((data) => {
const parser = new DOMParser();
console.log(data);
const xmlDoc = parser.parseFromString(data, "text/xml");
sasKeyOID = xmlDoc.getElementsByTagName("SignedOid")[0].textContent;
sasKeyTID = xmlDoc.getElementsByTagName("SignedTid")[0].textContent;
sasKeyStart = xmlDoc.getElementsByTagName("SignedStart")[0].textContent;
sasKeyExpiry = xmlDoc.getElementsByTagName("SignedExpiry")[0].textContent;
sasKeyService = xmlDoc.getElementsByTagName("SignedService")[0]
.textContent;
sasKeyVersion = xmlDoc.getElementsByTagName("SignedVersion")[0]
.textContent;
sasKeyValue = xmlDoc.getElementsByTagName("Value")[0].textContent;
});
});
次に、 https : //docs.microsoft.com/en-us/rest/api/storageservices/create-user-delegation-sas に基づいた形式で "StringToSign" を作成します。
const sasStart = new Date().toISOString();
const sasExpiry = new Date(new Date().getTime() + 20 * 60 * 1000).toISOString();
btnSAS.addEventListener("click", () => {
const StringToSign =
"rl" + // signedPermissions
"\n" +
sasStart + // signedStart
"\n" +
sasExpiry + // signedExpiry
"\n" +
"/blob/MYACCOUNT/MYCONTAINER" + // canonicalizedResource
"\n" +
sasKeyOID + // signedKeyObjectId
"\n" +
sasKeyTID + // signedKeyTenantId
"\n" +
sasKeyStart + // signedKeyStart
"\n" +
sasKeyExpiry + // signedKeyExpiry
"\n" +
sasKeyService + // signedKeyService
"\n" +
sasKeyVersion + // signedKeyVersion
"\n" +
"" + // signedAuthorizedUserObjectId
"\n" +
"" + // signedUnauthorizedUserObjectId
"\n" +
"16ca0b63-869e-4d76-8bf7-f859dcf02070" + // signedCorrelationId
"\n" +
"" + // signedIP
"\n" +
"https,http" + // signedProtocol
"\n" +
sasKeyVersion + // signedVersion
"\n" +
"c" + // signedResource
"\n" +
"" + // signedSnapshotTime
"\n" +
"" + // rscc
"\n" +
"" + // rscd
"\n" +
"" + // rsce
"\n" +
"" + // rscl
"\n" +
""; // rsct;
msdn によると、StringToSign を作成したら、"HMAC-SHA256(URL.Decode(UTF8.Encode(StringToSign)))" を生成する必要があります。ドキュメントで入力と出力のサンプルを提供して、関数の作成を余儀なくされた場合に関数を検証できるようにしてほしいと思います。
私がまとめたHMAC関数は次のとおりです。
async function myHMAC(base64Key, plainTextMessage) {
const decodedFromB64Key = atob(base64Key);
const cryptoKeyObj = await crypto.subtle.importKey(
"raw",
new TextEncoder().encode(decodedFromB64Key), // convert key to ArrayBuffer
{ name: "HMAC", hash: "SHA-256" }, // HmacImportParams obj
true, // extractable
["sign", "verify"]
);
// message to sign must be URL.Decode(UTF8.Encode(StringToSign))
// but doing these things makes no difference to returned value so unused
const utf8StringToSign = unescape(encodeURIComponent(plainTextMessage));
const urlDecodedUft8StringToSign = decodeURIComponent(utf8StringToSign);
const messageArrayBuffer = new TextEncoder().encode(
plainTextMessage
);
const signature = await crypto.subtle.sign(
"HMAC",
cryptoKeyObj,
messageArrayBuffer
);
// return base64(signature)
return btoa(String.fromCharCode(...new Uint8Array(signature)));
}
次のように HMAC を取得します。
const signedString = await myHMAC(sasKeyValue, StringToSign);
最終的に、この URL にその値をサフィックスして、Postman で使用します。
console.log(
"https://MYACCOUNT.blob.core.windows.net/MYCONTAINER" +
"?restype=container" +
"&comp=list" +
"&sp=rl" +
"&st=" +
sasStart +
"&se=" +
sasExpiry +
"&spr=https,http" +
"&sv=" +
sasKeyVersion +
"&sr=c" +
"&sig="
);
応答:
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>AuthenticationFailed</Code>
<Message>Server failed to authenticate the request. Make sure the value of Authorization header is formed correctly including the signature.
RequestId: X
Time:Y</Message>
<AuthenticationErrorDetail>Signature fields not well formed.</AuthenticationErrorDetail>
</Error>
示唆されているように、フィールドにはいくつかの問題があります。StringToSign のフィールドは、Blob REST API にクエリ パラメーターとして渡されるフィールドと正確に一致する必要がありますか? StringToSign には、未使用のオプション パラメータに対して空の文字列を含める必要があることを読んだことは確かです。それが GET 要求のクエリ パラメータとしてどのように処理されるかはわかりません。[1]: https://gauravmantri.com/2020/02/21/avoiding-authorizationfailed-error-when-hand-crafting-shared-access-signature-for-azure-storage/#disqus_thread