认证鉴权
AppStage调用接口支持AK/SK、API Key或Token认证鉴权。
- AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)进行API调用时的认证。
- API Key认证:通过API密钥进行API调用时的认证。
- Token认证:通过Token认证调用请求。
AK/SK认证
AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。
- AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
- SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名。详细的签名认证操作流程如下。
- AK/SK申请
使用具有管理员权限(admin)账号登录到AI原生应用引擎,从凭证管理进入到AK/SK访问密钥页面,新建AK/SK。
每个用户只能同时拥有两个AK/SK凭证。
- AK/SK下载
成功创建AK/SK后,会立刻弹出AK/SK凭证下载弹窗,下载后得到凭证文件。
每个凭证仅能下载一次,且无法找回,请妥善保管凭证文件。
- 使用AK/SK鉴权
ts: 毫秒时间戳
nonce: 请求唯一标识(UUID)
ak: 凭证文件中的AK明文
resource-code: WiseAgent对外开放接口对应的唯一编码,每个接口唯一
sign: 按如下规则拼接字符串"ts={变量名}&nonce={nonce}&ak={ak}",对拼接得到的字符串plain进行SHA256散列后得到散列值hash,再使用凭证中的SK明文对刚才生产的hash进行再散列,最后进行Base64转码,得到签名字符串。
签名样例代码(JAVA):
public String sha256(String plain) { try { MessageDigest messageDigest = MessageDigest.getInstance("SHA-256"); messageDigest.update(plain.getBytes(StandardCharsets.UTF_8)); byte[] bytes = messageDigest.digest(); StringBuffer hexBuffer = new StringBuffer(); for (byte aByte : bytes) { String hex = Integer.toHexString(0xff & aByte); if (hex.length() == 1) { hexBuffer.append('0'); } hexBuffer.append(hex); } return hexBuffer.toString(); } catch (NoSuchAlgorithmException ignore) { } } public String hmacSha256(String hash, String sk) { try { Mac hmacSHA256 = Mac.getInstance("HmacSHA256"); SecretKeySpec secretKeySpec = new SecretKeySpec(sk.getBytes(StandardCharsets.UTF_8), "HmacSHA256"); hmacSHA256.init(secretKeySpec); byte[] bytes = hmacSHA256.doFinal(hash.getBytes(StandardCharsets.UTF_8)); return Base64.encodeBase64String(bytes); } catch (NoSuchAlgorithmException | InvalidKeyException ignore) { } }
API Key认证
API Key全称为应用程序接口密钥,是一种用于验证和授权API请求的代码。它通常是一串字符,用于识别调用API的应用程序和开发者。
- 获取API Key
以管理员身份登录AI原生应用引擎工作台,参考创建API Key获取。
- 使用API Key鉴权
调用时,在请求头里新增字段Authorization,值填写为Bearer ${API Key},拼接起来如下所示。
Authorization:Bearer sk-5db9*********dd58
Token认证
- Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。
- 使用Token前请确保Token离过期有足够的时间,防止调用API的过程中Token过期导致调用API失败。
Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。
Token可通过调用获取用户Token接口获取,调用本服务API需要project级别的Token,即调用获取用户Token接口时,请求body中auth.scope的取值需要选择project,如下所示。
{
"auth": {
"identity": {
"methods": [
"password"
],
"password": {
"user": {
"name": "username",
"password": "********",
"domain": {
"name": "domainname"
}
}
}
},
"scope": {
"project": {
"name": "xxxxxxxx"
}
}
}
}
获取Token后,再调用其他接口时,您需要在请求消息头中添加“X-Auth-Token”,其值即为获取到的Token。例如Token值为“ABCDEFG....”,则调用接口时将“X-Auth-Token: ABCDEFG....”加到请求消息头即可,如下所示。
POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users
Content-Type: application/json
X-Auth-Token: ABCDEFG....
您还可以通过这个视频教程了解如何使用Token认证:https://bbs.huaweicloud.com/videos/101333 。
