7

有没有人使用 .net 真正想出如何成功签署签名以与 CloudFront 私有内容一起使用?经过几天的尝试,我只能得到拒绝访问。

我一直在使用以下代码的变体,还尝试使用 OpenSSL.Net 和 AWSSDK,但它还没有 RSA-SHA1 的签名方法。

签名(数据)看起来像这样

{"Statement":[{"Resource":"http://xxxx.cloudfront.net/xxxx.jpg","Condition":​{"DateLessThan":​{"AWS:EpochTime":1266922799}}}]}

更新:通过删除上述签名中的一个空格来解决所有这些问题。

要是我早点注意到就好了!

此方法尝试对签名进行签名以在预设 url 中使用。因此,其中的一些变化包括更改 has 中使用的填充,以及在签名之前反转 byte[],因为 OpenSSL 以这种方式执行此操作。

public string Sign(string data)
{
   using (SHA1Managed SHA1 = new SHA1Managed())
   {
      RSACryptoServiceProvider provider = new RSACryptoServiceProvider();
      RSACryptoServiceProvider.UseMachineKeyStore = false;

      // Amazon PEM converted to XML using OpenSslKey
      provider.FromXmlString("<RSAKeyValue><Modulus>....."); 

      byte[] plainbytes = System.Text.Encoding.UTF8.GetBytes(data);

      byte[] hash = SHA1.ComputeHash(plainbytes);
      //Array.Reverse(sig); // I have see some examples that reverse the hash

      byte[] sig = provider.SignHash(hash, "SHA1");

     return Convert.ToBase64String(sig);
   }
}

需要注意的是,我已通过使用我的 CloudBerry Explorer 生成 CloudFront 预设策略 URL,验证了 S3 和 CloudFront 中的内容设置是否正确。他们是如何做到的呢?

任何想法将不胜感激。谢谢

4

3 回答 3

7

如果有人感兴趣,这是完整的代码:

internal class CloudFrontSecurityProvider
{
    private readonly RSACryptoServiceProvider privateKey;
    private readonly string privateKeyId;
    private readonly SHA1Managed sha1 = new SHA1Managed();

    public CloudFrontSecurityProvider(string privateKeyId, string privateKey)
    {
        this.privateKey = new RSACryptoServiceProvider();
        RSACryptoServiceProvider.UseMachineKeyStore = false;

        this.privateKey.FromXmlString( privateKey );
        this.privateKeyId = privateKeyId;
    }
    private static int GetUnixTime(DateTime time)
    {
        DateTime referenceTime = new DateTime(1970, 1,1);
        return (int) (time - referenceTime).TotalSeconds;

    }

    public string GetCannedUrl(string url, DateTime expiration)
    {

        string expirationEpoch = GetUnixTime( expiration ).ToString();

        string policy =
            @"{""Statement"":[{""Resource"":""<url>"",""Condition"":{""DateLessThan"":{""AWS:EpochTime"":<expiration>}}}]}".
                Replace( "<url>", url ).
                Replace( "<expiration>", expirationEpoch );


        string signature = GetUrlSafeString( Sign( policy ) );

        return url + string.Format("?Expires={0}&Signature={1}&Key-Pair-Id={2}", expirationEpoch, signature, this.privateKeyId);
    }

    private static string GetUrlSafeString(byte[] data)
    {
        return Convert.ToBase64String( data ).Replace( '+', '-' ).Replace( '=', '_' ).Replace( '/', '~' );
    }

    private byte[] Sign(string data)
    {
            byte[] plainbytes = Encoding.UTF8.GetBytes(data);

            byte[] hash = sha1.ComputeHash(plainbytes);

            return this.privateKey.SignHash(hash, "SHA1");
    }

}
于 2010-03-30T12:21:48.007 回答
3

我已经完成了一篇博客文章,说明我必须做些什么才能让它工作:

http://anthonyvscode.com/2011/01/11/using-amazon-s3-cloudfront-to-distribute-your-private-files/

可能会帮助其他人尝试解决我启动和运行时遇到的问题

于 2011-01-17T03:57:55.947 回答
3

您现在可以使用 SDK 执行此操作:

http://docs.aws.amazon.com/sdkfornet/v3/apidocs/Index.html

导航Amazon.CloudFront > AmazonCloudFrontUrlSigner

于 2013-05-08T12:31:35.680 回答