Azurite中C生成Blob SAS授权失败问题解析

2025-07-05 17:31:18作者：舒璇辛Bertina

问题背景

在使用Azure存储模拟器Azurite进行开发测试时，开发者遇到了一个典型的授权问题：通过C# Azure客户端库(版本12.24.0)生成的Blob级别SAS(共享访问签名)在上传文件时出现签名不匹配的错误，而容器级别的SAS却能正常工作。

问题现象

开发者使用以下C#代码生成Blob SAS：

var sasBuilder = new BlobSasBuilder()
{
    BlobName = path,
    Resource = "b", // 表示Blob资源
    StartsOn = DateTime.UtcNow.Subtract(TimeSpan.FromDays(1)),
    ExpiresOn = startsOn.AddDays(5),
    Protocol = SasProtocol.HttpsAndHttp
};
sasBuilder.SetPermissions(BlobSasPermissions.All);

生成的SAS URL格式如下：

http://localhost:10000/devstoreaccount1/file-stage/brandmark-logo-oracle-1.svg?sv=2024-11-04&spr=https,http&st=2025-05-26T15%3A36%3A13Z&se=2025-05-31T15%3A36%3A13Z&sr=b&sp=cw&sig=QQ%2FyKaLSe6TOquIDaQufccNO99mUNTCMho4HK%2BODCZ8%3D

但在客户端(TypeScript)使用@azure/storage-blob(版本12.27.0)上传文件时，Azurite返回了授权失败错误，日志显示签名验证不匹配。

深入分析

从Azurite的调试日志可以看到关键信息：

Azurite接收到的SAS参数正确解析：
- 版本：2024-11-04
- 协议：https,http
- 开始时间：2025-05-26T15:36:13Z
- 过期时间：2025-05-31T15:36:13Z
- 权限：cw(创建和写入)
- 资源类型：b(Blob)
- Blob路径：file-stage/brandmark-logo-oracle-1.svg
签名验证失败：
- 待签名字符串："cw\n2025-05-26T15:36:13Z\n2025-05-31T15:36:13Z\n/blob/devstoreaccount1/file-stage/brandmark-logo-oracle-1.svg\n\n\nhttps,http\n2024-11-04\nb\n\n\n\n\n\n\n"
- Azurite计算出的签名：mbubbvjWVM1mSk8EpwLkRBrFsVAj0nLKGLNqau3MdkA=

根本原因

经过开发者进一步测试发现，当使用容器级别SAS(Resource="c")时，上传操作可以正常工作。这表明问题特定于Blob级别的SAS生成和验证过程。

可能的原因包括：

签名算法差异：C#客户端库和Azurite在计算Blob SAS签名时可能存在微妙的算法差异，特别是对于Blob资源的处理方式。
资源类型处理：Blob SAS("b")和容器SAS("c")在签名计算时对待资源路径的方式可能不同，Azurite可能对Blob路径的规范化处理与C#库不一致。
权限范围问题：Blob SAS在上传新Blob时可能需要特定的权限组合，而容器SAS在这方面更为宽松。