首页
/ AWS SDK Rust 中预签名 URL 因校验和头导致验证失败问题分析

AWS SDK Rust 中预签名 URL 因校验和头导致验证失败问题分析

2025-06-26 16:41:33作者:羿妍玫Ivan

问题背景

在 AWS SDK Rust 的 S3 客户端使用过程中,开发者在生成预签名 URL 时遇到了签名验证失败的问题。具体表现为当使用 presigned() 方法生成预签名 URL 后,实际请求时服务端返回错误,提示存在未签名的头信息 x-amz-checksum-mode

问题现象

当开发者使用以下代码生成预签名 URL 时:

let presigning_config = PresigningConfig::builder()
    .expires_in(get_expiry())
    .build()
    .unwrap();

let request = client
    .get_object()
    .bucket(bucket_name)
    .key(key)
    .request_payer(RequestPayer::Requester)
    .presigned(presigning_config)
    .await?;

生成的预签名 URL 会包含两个头信息:

  1. x-amz-request-payer
  2. x-amz-checksum-mode

然而,在 URL 的签名部分 X-Amz-SignedHeaders 参数中,只包含了 x-amz-request-payer,而没有包含 x-amz-checksum-mode。这导致实际请求时,S3 服务端会拒绝请求并返回错误:

<Error>
    <Code>AccessDenied</Code>
    <Message>There were headers present in the request which were not signed</Message>
    <HeadersNotSigned>x-amz-checksum-mode</HeadersNotSigned>
</Error>

技术分析

预签名 URL 的工作原理

预签名 URL 是 AWS S3 提供的一种授权机制,允许客户端生成一个有时效性的 URL,任何持有该 URL 的用户都可以执行指定的操作,而无需 AWS 凭证。其核心原理是:

  1. 客户端使用 AWS 凭证对请求进行签名
  2. 签名信息作为查询参数附加到 URL 上
  3. 服务端收到请求后,使用相同的算法验证签名

问题根源

经过分析,问题的根本原因在于 SDK 的内部处理顺序:

  1. PreSigningInterceptor 拦截器执行签名操作
  2. HttpResponseChecksumDecorator 随后添加了 x-amz-checksum-mode

这种处理顺序导致校验和头被添加到了已签名的请求之后,从而破坏了签名的完整性。正确的处理顺序应该是所有需要签名的头信息都必须在签名前添加完毕。

解决方案

临时解决方案

在官方修复发布前,开发者可以采用以下临时解决方案:

  1. 设置校验和计算模式为 WhenRequired
let s3_config = Config::builder()
    .request_checksum_calculation(RequestChecksumCalculation::WhenRequired)
    .build();

let client = aws_sdk_s3::Client::from_conf(s3_config);
  1. 手动移除校验和头:
let mut request = client.get_object()...presigned().await?;
request.headers_mut().remove("x-amz-checksum-mode");

官方修复

AWS SDK Rust 团队已经修复了这个问题,修复方案主要调整了内部处理顺序,确保所有需要签名的头信息都在签名前添加。该修复已包含在 1.75.0 版本中发布。

最佳实践建议

  1. 当使用预签名 URL 时,应当检查生成的 URL 中 X-Amz-SignedHeaders 参数是否包含了所有必要的头信息
  2. 对于生产环境,建议始终使用最新版本的 SDK
  3. 在测试预签名 URL 时,应当模拟真实客户端的请求方式,包括所有必要的头信息

总结

这个问题展示了 AWS 签名机制对请求完整性的严格要求。任何在签名后对请求的修改都会导致验证失败。开发者在使用预签名 URL 时应当注意请求的最终形态是否与签名时的形态一致。AWS SDK Rust 团队对此问题的快速响应也体现了开源社区的优势,开发者遇到类似问题时可以及时升级 SDK 或采用临时解决方案。

登录后查看全文
热门项目推荐

热门内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
149
1.95 K
kernelkernel
deepin linux kernel
C
22
6
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
980
395
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
931
555
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
190
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
65
518
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0