PeerTube中HTTP签名keyId参数问题解析

问题背景

在PeerTube视频平台的联邦网络(Federation)功能中，发现了一个与HTTP签名机制相关的技术问题。当PeerTube实例之间通过ActivityPub协议进行通信时，会使用HTTP签名来验证请求的真实性。然而，PeerTube生成的签名中存在一个关键参数设置不当的情况。

技术细节

HTTP签名规范要求keyId参数必须指向一个包含公钥信息的文档。在PeerTube的实现中，该参数被设置为类似"video.blender.org/video-channels/blender_reels"这样的URL，这个URL实际上指向的是Actor文档(描述用户或频道的信息)，而非专门的密钥文档。

根据ActivityPub协议规范，Actor文档中会包含一个publicKey字段，其中嵌套了密钥信息。这个密钥文档有一个特定的ID格式，通常是在Actor URL后附加"#main-key"片段标识符，例如"video.blender.org/video-channels/blender_reels#main-key"。

问题影响

这种实现方式虽然在实际操作中可能不会立即导致功能失效(因为验证方可以从Actor文档中提取密钥信息)，但它违反了HTTP签名的规范要求。规范的keyId应该直接指向密钥文档本身，而不是包含密钥的父文档。

这种不规范实现可能导致：

1. 与其他严格遵循规范的ActivityPub实现产生兼容性问题
2. 增加签名验证逻辑的复杂性
3. 可能被某些严格的验证器拒绝

解决方案

PeerTube开发团队已经通过代码提交修复了这个问题。修复后的实现将确保keyId参数正确地指向包含片段标识符的密钥文档URL，完全符合HTTP签名规范和ActivityPub协议的要求。

技术意义

这个修复体现了对协议规范的严格遵守，确保了PeerTube在联邦网络中的互操作性。对于开发者而言，这个案例也提醒我们在实现安全相关的签名机制时，必须精确遵循规范要求，避免看似工作但实际上不规范的做法。

对于PeerTube用户来说，这个修复不会带来可见的变化，但会提高平台在联邦网络中的可靠性和兼容性。