18

处理Google Cloud Storage的常规签名 URL(查询字符串身份验证)令人沮丧。

Google Cloud Storage 签名 URL 示例-> 这真的是整个互联网上唯一可用于为 Google Cloud Storage 生成签名 URL 的代码吗?如果需要,我应该全部阅读并手动调整它以适应纯 Python GAE 吗?

当您将它与 AWS S3 getAuthenticatedURL()进行比较时,这很荒谬,已经包含在任何 SDK 中......

我错过了一些明显的东西还是每个人都面临同样的问题?这是怎么回事?

4

5 回答 5

5

以下是如何在 Go 中执行此操作:

func GenerateSignedURLs(c appengine.Context, host, resource string, expiry time.Time, httpVerb, contentMD5, contentType string) (string, error) {
    sa, err := appengine.ServiceAccount(c)
    if err != nil {
        return "", err
    }
    expUnix := expiry.Unix()
    expStr := strconv.FormatInt(expUnix, 10)
    sl := []string{
        httpVerb,
        contentMD5,
        contentType,
        expStr,
        resource,
    }
    unsigned := strings.Join(sl, "\n")
    _, b, err := appengine.SignBytes(c, []byte(unsigned))
    if err != nil {
        return "", err
    }
    sig := base64.StdEncoding.EncodeToString(b)
    p := url.Values{
        "GoogleAccessId": {sa},
        "Expires": {expStr},
        "Signature": {sig},
    }
    return fmt.Sprintf("%s%s?%s", host, resource, p.Encode()), err
}
于 2014-10-26T23:26:59.893 回答
4

我不知道为什么这些文档如此糟糕。关于 SO的唯一其他全面答案很好但很乏味。

输入generate_signed_url 方法。爬下兔子洞,您会注意到使用此方法时的代码路径与在 GAE 上执行时上述 SO 帖子中的解决方案相同。然而,这种方法不那么乏味,支持其他环境,并且有更好的错误消息。

在代码中:

def sign_url(obj, expires_after_seconds=60):

    client = storage.Client()
    default_bucket = '%s.appspot.com' % app_identity.get_application_id()
    bucket = client.get_bucket(default_bucket)
    blob = storage.Blob(obj, bucket)

    expiration_time = int(time.time() + expires_after_seconds)

    url = blob.generate_signed_url(expiration_time)

    return url
于 2017-07-03T22:28:51.567 回答
3

我最近也遇到了这个问题,并找到了使用内置服务帐户在 GAE 中的 python 中执行此操作的解决方案。使用google.appengine.api.app_identity包中的sign_blob()函数对签名字符串进行签名,并使用同一包中的get_service_account_name()来获取GoogleAccessId的值。

不知道为什么记录得这么差,即使现在知道这行得通,我也找不到任何使用谷歌搜索的提示,应该可以为此目的使用内置帐户。很好,它虽然有效!

于 2015-01-02T21:59:37.657 回答
1

查看https://github.com/GoogleCloudPlatform/gcloud-python/pull/56

在 Python 中,这确实...

import base64
import time
import urllib
from datetime import datetime, timedelta

from Crypto.Hash import SHA256
from Crypto.PublicKey import RSA
from Crypto.Signature import PKCS1_v1_5
from OpenSSL import crypto

method = 'GET'
resource = '/bucket-name/key-name'
content_md5, content_type = None, None

expiration = datetime.utcnow() + timedelta(hours=2)
expiration = int(time.mktime(expiration.timetuple()))

# Generate the string to sign.
signature_string = '\n'.join([
  method,
  content_md5 or '',
  content_type or '',
  str(expiration),
  resource])

# Take our PKCS12 (.p12) key and make it into a RSA key we can use...
private_key = open('/path/to/your-key.p12', 'rb').read()
pkcs12 = crypto.load_pkcs12(private_key, 'notasecret')
pem = crypto.dump_privatekey(crypto.FILETYPE_PEM, pkcs12.get_privatekey())
pem_key = RSA.importKey(pem)

# Sign the string with the RSA key.
signer = PKCS1_v1_5.new(pem_key)
signature_hash = SHA256.new(signature_string)
signature_bytes = signer.sign(signature_hash)
signature = base64.b64encode(signature_bytes)

# Set the right query parameters.
query_params = {'GoogleAccessId': 'your-service-account@googleapis.com',
                'Expires': str(expiration),
                'Signature': signature}

# Return the built URL.
return '{endpoint}{resource}?{querystring}'.format(
    endpoint=self.API_ACCESS_ENDPOINT, resource=resource,
    querystring=urllib.urlencode(query_params))
于 2014-02-28T14:07:43.740 回答
0

如果您不想自己编写,请查看 GitHub 上的此类。

真的很容易使用

GCSSSignedUrlGenerator

于 2014-11-24T13:44:40.690 回答