AWS SDK Rust 中 S3 请求默认端口导致的签名验证问题分析

在 AWS SDK Rust 项目中，开发者在使用 S3 服务时可能会遇到一个微妙的签名验证问题。这个问题主要出现在当请求中显式指定了默认端口（如 HTTP 的 80 端口或 HTTPS 的 443 端口）的情况下。

问题背景

当开发者构造 S3 请求时，如果在端点 URL 中显式包含了默认端口号（例如 http://localhost:80），会导致签名验证失败。这是因为底层 HTTP 客户端 Hyper 会自动从 Host 头中移除默认端口号，但签名计算过程却使用了包含端口号的完整主机名。

技术细节

签名验证过程涉及以下几个关键步骤：

1. 规范请求构造：SDK 会构造一个包含所有请求信息的规范请求，用于签名计算
2. Host 头处理：Hyper 客户端会自动规范化 Host 头，移除默认端口
3. 签名计算：使用包含端口号的主机名计算签名
4. 服务器验证：服务器使用接收到的 Host 头（不含端口）来验证签名

这种不一致性导致了签名验证失败，服务器会返回 SignatureDoesNotMatch 错误。

解决方案

AWS SDK Rust 团队已经修复了这个问题，解决方案主要包括：

1. 在构造规范请求时，主动移除默认端口号以保持与 Hyper 客户端行为一致
2. 确保签名计算使用的 Host 值与实际发送的 Host 头完全匹配

影响范围

这个问题主要影响以下场景：

• 使用非 AWS 标准 S3 端点（如本地测试的 MinIO 或 Ceph 集群）
• 在端点 URL 中显式指定了默认端口
• 使用路径样式访问（force_path_style=true）

最佳实践

为了避免类似问题，开发者应该：

1. 避免在端点 URL 中不必要地指定默认端口
2. 保持 SDK 版本更新，确保使用包含修复的版本
3. 在测试环境中检查 Host 头的实际发送值

该修复已包含在 AWS SDK Rust 的 1.75.0 版本中，遇到类似问题的开发者可以升级到此版本或更高版本来解决问题。