在Apollo配置中心使用Bash脚本实现带签名的配置请求

背景介绍

Apollo配置中心是一款流行的分布式配置管理系统，广泛应用于微服务架构中。在实际生产环境中，为了保证配置的安全性，Apollo提供了访问密钥(access key)机制，要求客户端在请求配置时提供有效的签名认证。

签名机制原理

Apollo的签名认证基于HMAC-SHA1算法，客户端需要构造一个特定的字符串并进行签名。签名过程包含以下几个关键要素：

1. 时间戳：精确到毫秒的当前时间戳
2. 请求路径：包括URI路径和查询参数
3. 密钥：预先配置的访问密钥
4. 分隔符：换行符(\n)作为时间戳和请求路径的分隔

签名字符串的构造格式为：时间戳 + 换行符 + 请求路径

Bash实现方案

在Bash环境中，我们可以使用openssl工具来实现HMAC-SHA1签名。以下是实现的关键点：

1. 获取精确时间戳

timestamp_ns=$(date +%s%N)  # 获取纳秒级时间戳
timestamp_ms=$((timestamp_ns / 1000000))  # 转换为毫秒

2. 正确处理换行符

在Bash中，换行符需要使用$'\n'语法表示，这是常见的陷阱：

delimiter=$'\n'  # 正确的换行符表示方法

3. 构造签名字符串

string_to_sign="$timestamp_ms$delimiter$path_with_query"

4. 使用openssl生成签名

signature=$(echo -n "${string_to_sign}" | openssl dgst -sha1 -hmac "${secret}" -binary | openssl enc -base64 -A)

完整脚本示例

#!/bin/bash

function signature() {
  timestamp_ms="$1"
  path_with_query="$2"
  secret="$3"

  delimiter=$'\n'
  string_to_sign="$timestamp_ms$delimiter$path_with_query"

  echo -n "${string_to_sign}" | openssl dgst -sha1 -hmac "${secret}" -binary | openssl enc -base64 -A
}

timestamp_ns=$(date +%s%N)
timestamp_ms=$((timestamp_ns / 1000000))
secret="$1"
path_with_query="$2"

signature=$(signature "$timestamp_ms" "${path_with_query}" "$secret")

curl -v -H "Authorization: Apollo ${appId}:${signature}" \
     -H "Timestamp: ${timestamp_ms}" \
     "http://${config_server}${path_with_query}"

常见问题排查

1. 401 Unauthorized错误：

   • 检查时间戳是否精确到毫秒
   • 确认换行符是否正确处理
   • 验证访问密钥是否正确

2. 签名不匹配：

   • 确保请求路径包含完整的URI和查询参数
   • 检查URL编码是否正确处理特殊字符

3. 时间同步问题：

   • 确保客户端与服务器时间同步
   • 时间戳偏差不应超过配置的允许范围

最佳实践建议

1. 将签名功能封装为可重用函数
2. 添加错误处理和重试机制
3. 考虑实现本地缓存减少频繁请求
4. 对敏感信息如访问密钥进行安全存储
5. 添加日志记录便于问题排查

通过以上方法，可以在Bash环境中安全地访问Apollo配置中心的受保护配置，既保证了安全性，又保持了脚本的简洁性。