更新时间:2024-10-23 GMT+08:00
分享

创建自定义鉴权

功能介绍

应用服务器可调用此接口在物联网平台创建一个自定义鉴权。自定义鉴权是指用户可以通过函数服务自定义实现鉴权逻辑,以对接入平台的设备进行身份认证。

  • 单个实例最大可配置10个自定义鉴权

  • 仅标准版实例、企业版实例支持该接口调用,基础版不支持。

调用方法

请参见如何调用API

URI

POST /v5/iot/{project_id}/device-authorizers

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数说明:项目ID。获取方法请参见 获取项目ID

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

参数说明:用户Token。通过调用IAM服务 获取IAM用户Token接口获取,接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。简要的获取方法样例请参见 Token认证

Instance-Id

String

参数说明:实例ID。物理多租下各实例的唯一标识,建议携带该参数,在使用专业版时必须携带该参数。您可以在IoTDA管理控制台界面,选择左侧导航栏“总览”页签查看当前实例的ID,具体获取方式请参考查看实例详情

表3 请求Body参数

参数

是否必选

参数类型

描述

authorizer_name

String

参数说明:自定义鉴权器名称,同一租户下的自定义鉴权器名称不能重复。

取值范围:长度不超过128,只允许字母、数字、下划线(_)、连接符(-)的组合。

func_urn

String

参数说明:函数的URN(Uniform Resource Name),唯一标识函数,即自定义鉴权器对应的处理函数地址。

signing_enable

Boolean

参数说明:是否启动签名校验,启动签名校验后不满足签名要求的鉴权信息将被拒绝,以减少无效的函数调用。推荐用户进行安全的签名校验,默认开启, 开启时signing_token与signing_public_key必填。

signing_token

String

参数说明:签名校验的Key值,开启签名校验时使用。

取值范围:长度不超过128,只允许字母、数字、下划线(_)、连接符(-)的组合。

signing_public_key

String

参数说明:签名校验的公钥,开启签名校验时使用。用于认证设备携带的签名信息是否正确。

default_authorizer

Boolean

参数说明:当前自定义鉴权是否为默认的鉴权方式,默认为false,当设置为true时,用户所有支持SNI的设备,如果在鉴权时不指定使用特定的设备鉴权,将统一使用当前鉴权器策略进行鉴权。

status

String

参数说明:是否激活该鉴权方式

  • ACTIVE:该鉴权为激活状态。

  • INACTIVE:该鉴权为停用状态。

cache_enable

Boolean

参数说明:是否开启缓存,默认为false,设备为true时,当设备入参(username,clientId,password,以及证书信息,函数urn)不变时,当缓存结果存在时,将直接使用缓存结果,建议在调试时设置为false,生产时设置为true,避免频繁调用函数。

响应参数

状态码: 201

表4 响应Body参数

参数

参数类型

描述

authorizer_id

String

参数说明:自定义鉴权ID。

authorizer_name

String

参数说明:自定义鉴权器名称,同一租户下的自定义鉴权器名称不能重复。

取值范围:长度不超过128,只允许字母、数字、下划线(_)、连接符(-)的组合。

func_name

String

参数说明:函数名称。

func_urn

String

参数说明:函数的URN(Uniform Resource Name),唯一标识函数,即自定义鉴权器对应的处理函数地址。

signing_enable

Boolean

参数说明:是否启动签名校验,启动签名校验后不满足签名要求的鉴权信息将被拒绝,以减少无效的函数调用。推荐用户进行安全的签名校验,默认开启。

signing_token

String

参数说明:签名校验的Key值,开启签名校验时使用。

取值范围:长度不超过128,只允许字母、数字、下划线(_)、连接符(-)的组合。

signing_public_key

String

参数说明:签名校验的公钥,开启签名校验时使用。用于认证设备携带的签名信息是否正确。

default_authorizer

Boolean

参数说明:是否为默认的鉴权方式,默认为false。

status

String

参数说明:是否激活该鉴权方式

  • ACTIVE:该鉴权为激活状态。

  • INACTIVE:该鉴权为停用状态。

cache_enable

Boolean

参数说明:是否开启缓存,默认为false,设备为true时,当设备入参(username,clientId,password,以及证书信息,函数urn)不变时,当缓存结果存在时,将直接使用缓存结果,建议在调试时设置为false,生产时设置为true,避免频繁调用函数。

create_time

String

在物联网平台进行自定义鉴权相关操作的时间。格式:yyyyMMdd'T'HHmmss'Z',如:20151212T121212Z。

update_time

String

在物联网平台更新自定义鉴权相关操作的时间。格式:yyyyMMdd'T'HHmmss'Z',如:20151212T121212Z。

请求示例

创建自定义鉴权

POST https://{endpoint}/v5/iot/{project_id}/device-authorizers

{
  "authorizer_name" : "myTest",
  "func_urn" : "urn:fss:cn-north-5:d92d9c5eb8e347b5bb31ecfe5bc0c4e1:function:default:mqtt_auth:latest",
  "signing_enable" : true,
  "signing_token" : "string",
  "signing_public_key" : "string",
  "default_authorizer" : false,
  "status" : "ACTIVE",
  "cache_enable" : true
}

响应示例

状态码: 201

Created

{
  "authorizer_id" : "5c90fa7d3c4e4405e8525079",
  "authorizer_name" : "myTest",
  "func_name" : "mqtt_auth",
  "func_urn" : "urn:fss:cn-north-5:d92d9c5eb8e347b5bb31ecfe5bc0c4e1:function:default:mqtt_auth:latest",
  "signing_enable" : true,
  "signing_token" : "string",
  "signing_public_key" : "string",
  "default_authorizer" : false,
  "status" : "ACTIVE",
  "cache_enable" : false,
  "create_time" : "20231031T070547Z",
  "update_time" : "20231031T070547Z"
}

SDK代码示例

SDK代码示例如下。

创建自定义鉴权

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.AbstractCredentials;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.core.region.Region;
import com.huaweicloud.sdk.iotda.v5.*;
import com.huaweicloud.sdk.iotda.v5.model.*;


public class CreateDeviceAuthorizerSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");
        // ENDPOINT:请在控制台的"总览"界面的"平台接入地址"中查看“应用侧”的https接入地址。
        String iotdaEndpoint = "<YOUR ENDPOINT>";
        String projectId = "{project_id}";

        ICredential auth = new BasicCredentials()
                .withProjectId(projectId)
                // 标准版/企业版需要使用衍生算法,基础版请删除配置"withDerivedPredicate";
                .withDerivedPredicate(AbstractCredentials.DEFAULT_DERIVED_PREDICATE) // Used in derivative ak/sk authentication scenarios
                .withAk(ak)
                .withSk(sk);

        IoTDAClient client = IoTDAClient.newBuilder()
                .withCredential(auth)
                // 标准版/企业版:需自行创建Region对象,基础版:请使用IoTDARegion的region对象,如"withRegion(IoTDARegion.CN_NORTH_4)"
                .withRegion(new Region("cn-north-4", iotdaEndpoint))
                .build();
        CreateDeviceAuthorizerRequest request = new CreateDeviceAuthorizerRequest();
        CreateDeviceAuthorizer body = new CreateDeviceAuthorizer();
        body.withCacheEnable(true);
        body.withStatus("ACTIVE");
        body.withDefaultAuthorizer(false);
        body.withSigningPublicKey("string");
        body.withSigningToken("string");
        body.withSigningEnable(true);
        body.withFuncUrn("urn:fss:cn-north-5:d92d9c5eb8e347b5bb31ecfe5bc0c4e1:function:default:mqtt_auth:latest");
        body.withAuthorizerName("myTest");
        request.withBody(body);
        try {
            CreateDeviceAuthorizerResponse response = client.createDeviceAuthorizer(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}

创建自定义鉴权

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
# coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkcore.auth.credentials import DerivedCredentials
from huaweicloudsdkcore.region.region import Region as coreRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkiotda.v5 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]
    // ENDPOINT请在控制台的"总览"界面的"平台接入地址"中查看应用侧的https接入地址
    iotdaEndpoint = "<YOUR ENDPOINT>";
    projectId = "{project_id}"

    credentials = BasicCredentials(ak, sk, projectId).with_derived_predicate(DerivedCredentials.get_default_derived_predicate())

    client = IoTDAClient.new_builder() \
        .with_credentials(credentials) \
        # 标准版/企业版:需要使用自行创建的Region对象,基础版:请选择IoTDAClient中的Region对象 如: .with_region(IoTDARegion.CN_NORTH_4)
        .with_region(coreRegion(id="cn-north-4", endpoint=endpoint)) \
        .build()

    try:
        request = CreateDeviceAuthorizerRequest()
        request.body = CreateDeviceAuthorizer(
            cache_enable=True,
            status="ACTIVE",
            default_authorizer=False,
            signing_public_key="string",
            signing_token="string",
            signing_enable=True,
            func_urn="urn:fss:cn-north-5:d92d9c5eb8e347b5bb31ecfe5bc0c4e1:function:default:mqtt_auth:latest",
            authorizer_name="myTest"
        )
        response = client.create_device_authorizer(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)

创建自定义鉴权

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    iotda "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/iotda/v5"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/iotda/v5/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/core/region"
    core_auth "github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")
    // endpoint:请在控制台的"总览"界面的"平台接入地址"中查看"应用侧"的https接入地址
    endpoint := "<YOUR ENDPOINT>"
    projectId := "{project_id}"

    auth := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        WithProjectId(projectId).
        // 企业版/标准版需要使用衍生算法,基础版请删除该配置"WithDerivedPredicate"
        WithDerivedPredicate(core_auth.GetDefaultDerivedPredicate()). // Used in derivative ak/sk authentication scenarios
        Build()

    client := iotda.NewIoTDAClient(
        iotda.IoTDAClientBuilder().
            // 标准版/企业版需要自行创建region,基础版使用IoTDARegion中的region对象
            WithRegion(region.NewRegion("cn-north-4", endpoint)).
            WithCredential(auth).
            Build())

    request := &model.CreateDeviceAuthorizerRequest{}
	cacheEnableCreateDeviceAuthorizer:= true
	statusCreateDeviceAuthorizer:= "ACTIVE"
	defaultAuthorizerCreateDeviceAuthorizer:= false
	signingPublicKeyCreateDeviceAuthorizer:= "string"
	signingTokenCreateDeviceAuthorizer:= "string"
	signingEnableCreateDeviceAuthorizer:= true
	request.Body = &model.CreateDeviceAuthorizer{
		CacheEnable: &cacheEnableCreateDeviceAuthorizer,
		Status: &statusCreateDeviceAuthorizer,
		DefaultAuthorizer: &defaultAuthorizerCreateDeviceAuthorizer,
		SigningPublicKey: &signingPublicKeyCreateDeviceAuthorizer,
		SigningToken: &signingTokenCreateDeviceAuthorizer,
		SigningEnable: &signingEnableCreateDeviceAuthorizer,
		FuncUrn: "urn:fss:cn-north-5:d92d9c5eb8e347b5bb31ecfe5bc0c4e1:function:default:mqtt_auth:latest",
		AuthorizerName: "myTest",
	}
	response, err := client.CreateDeviceAuthorizer(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}

更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。

状态码

状态码

描述

201

Created

400

Bad Request

401

Unauthorized

403

Forbidden

500

Internal Server Error

错误码

请参见错误码

相关文档