首页
/ AWS SDK Rust 中预签名 URL 因校验和头导致验证失败问题分析

AWS SDK Rust 中预签名 URL 因校验和头导致验证失败问题分析

2025-06-26 09:16:13作者:羿妍玫Ivan

问题背景

在 AWS SDK Rust 的 S3 客户端使用过程中,开发者在生成预签名 URL 时遇到了签名验证失败的问题。具体表现为当使用 presigned() 方法生成预签名 URL 后,实际请求时服务端返回错误,提示存在未签名的头信息 x-amz-checksum-mode

问题现象

当开发者使用以下代码生成预签名 URL 时:

let presigning_config = PresigningConfig::builder()
    .expires_in(get_expiry())
    .build()
    .unwrap();

let request = client
    .get_object()
    .bucket(bucket_name)
    .key(key)
    .request_payer(RequestPayer::Requester)
    .presigned(presigning_config)
    .await?;

生成的预签名 URL 会包含两个头信息:

  1. x-amz-request-payer
  2. x-amz-checksum-mode

然而,在 URL 的签名部分 X-Amz-SignedHeaders 参数中,只包含了 x-amz-request-payer,而没有包含 x-amz-checksum-mode。这导致实际请求时,S3 服务端会拒绝请求并返回错误:

<Error>
    <Code>AccessDenied</Code>
    <Message>There were headers present in the request which were not signed</Message>
    <HeadersNotSigned>x-amz-checksum-mode</HeadersNotSigned>
</Error>

技术分析

预签名 URL 的工作原理

预签名 URL 是 AWS S3 提供的一种授权机制,允许客户端生成一个有时效性的 URL,任何持有该 URL 的用户都可以执行指定的操作,而无需 AWS 凭证。其核心原理是:

  1. 客户端使用 AWS 凭证对请求进行签名
  2. 签名信息作为查询参数附加到 URL 上
  3. 服务端收到请求后,使用相同的算法验证签名

问题根源

经过分析,问题的根本原因在于 SDK 的内部处理顺序:

  1. PreSigningInterceptor 拦截器执行签名操作
  2. HttpResponseChecksumDecorator 随后添加了 x-amz-checksum-mode

这种处理顺序导致校验和头被添加到了已签名的请求之后,从而破坏了签名的完整性。正确的处理顺序应该是所有需要签名的头信息都必须在签名前添加完毕。

解决方案

临时解决方案

在官方修复发布前,开发者可以采用以下临时解决方案:

  1. 设置校验和计算模式为 WhenRequired
let s3_config = Config::builder()
    .request_checksum_calculation(RequestChecksumCalculation::WhenRequired)
    .build();

let client = aws_sdk_s3::Client::from_conf(s3_config);
  1. 手动移除校验和头:
let mut request = client.get_object()...presigned().await?;
request.headers_mut().remove("x-amz-checksum-mode");

官方修复

AWS SDK Rust 团队已经修复了这个问题,修复方案主要调整了内部处理顺序,确保所有需要签名的头信息都在签名前添加。该修复已包含在 1.75.0 版本中发布。

最佳实践建议

  1. 当使用预签名 URL 时,应当检查生成的 URL 中 X-Amz-SignedHeaders 参数是否包含了所有必要的头信息
  2. 对于生产环境,建议始终使用最新版本的 SDK
  3. 在测试预签名 URL 时,应当模拟真实客户端的请求方式,包括所有必要的头信息

总结

这个问题展示了 AWS 签名机制对请求完整性的严格要求。任何在签名后对请求的修改都会导致验证失败。开发者在使用预签名 URL 时应当注意请求的最终形态是否与签名时的形态一致。AWS SDK Rust 团队对此问题的快速响应也体现了开源社区的优势,开发者遇到类似问题时可以及时升级 SDK 或采用临时解决方案。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
178
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
868
514
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
130
183
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
272
311
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
373
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
599
58
GitNextGitNext
基于可以运行在OpenHarmony的git,提供git客户端操作能力
ArkTS
10
3