AWS SDK Rust 中预签名 URL 因校验和头导致验证失败问题分析

问题背景

在 AWS SDK Rust 的 S3 客户端使用过程中，开发者在生成预签名 URL 时遇到了签名验证失败的问题。具体表现为当使用 presigned() 方法生成预签名 URL 后，实际请求时服务端返回错误，提示存在未签名的头信息 x-amz-checksum-mode。

问题现象

当开发者使用以下代码生成预签名 URL 时：

let presigning_config = PresigningConfig::builder()
    .expires_in(get_expiry())
    .build()
    .unwrap();

let request = client
    .get_object()
    .bucket(bucket_name)
    .key(key)
    .request_payer(RequestPayer::Requester)
    .presigned(presigning_config)
    .await?;

生成的预签名 URL 会包含两个头信息：

1. x-amz-request-payer
2. x-amz-checksum-mode

然而，在 URL 的签名部分 X-Amz-SignedHeaders 参数中，只包含了 x-amz-request-payer，而没有包含 x-amz-checksum-mode。这导致实际请求时，S3 服务端会拒绝请求并返回错误：

<Error>
    <Code>AccessDenied</Code>
    <Message>There were headers present in the request which were not signed</Message>
    <HeadersNotSigned>x-amz-checksum-mode</HeadersNotSigned>
</Error>

技术分析

预签名 URL 的工作原理

预签名 URL 是 AWS S3 提供的一种授权机制，允许客户端生成一个有时效性的 URL，任何持有该 URL 的用户都可以执行指定的操作，而无需 AWS 凭证。其核心原理是：

1. 客户端使用 AWS 凭证对请求进行签名
2. 签名信息作为查询参数附加到 URL 上
3. 服务端收到请求后，使用相同的算法验证签名

问题根源

经过分析，问题的根本原因在于 SDK 的内部处理顺序：

1. PreSigningInterceptor 拦截器执行签名操作
2. HttpResponseChecksumDecorator 随后添加了 x-amz-checksum-mode 头

这种处理顺序导致校验和头被添加到了已签名的请求之后，从而破坏了签名的完整性。正确的处理顺序应该是所有需要签名的头信息都必须在签名前添加完毕。

解决方案

临时解决方案

在官方修复发布前，开发者可以采用以下临时解决方案：

1. 设置校验和计算模式为 WhenRequired：

let s3_config = Config::builder()
    .request_checksum_calculation(RequestChecksumCalculation::WhenRequired)
    .build();

let client = aws_sdk_s3::Client::from_conf(s3_config);

2. 手动移除校验和头：

let mut request = client.get_object()...presigned().await?;
request.headers_mut().remove("x-amz-checksum-mode");

官方修复

AWS SDK Rust 团队已经修复了这个问题，修复方案主要调整了内部处理顺序，确保所有需要签名的头信息都在签名前添加。该修复已包含在 1.75.0 版本中发布。

最佳实践建议

1. 当使用预签名 URL 时，应当检查生成的 URL 中 X-Amz-SignedHeaders 参数是否包含了所有必要的头信息
2. 对于生产环境，建议始终使用最新版本的 SDK
3. 在测试预签名 URL 时，应当模拟真实客户端的请求方式，包括所有必要的头信息

总结

这个问题展示了 AWS 签名机制对请求完整性的严格要求。任何在签名后对请求的修改都会导致验证失败。开发者在使用预签名 URL 时应当注意请求的最终形态是否与签名时的形态一致。AWS SDK Rust 团队对此问题的快速响应也体现了开源社区的优势，开发者遇到类似问题时可以及时升级 SDK 或采用临时解决方案。