RDS服務會對每個訪問的請求進行身份驗證，所以無論使用HTTP還是HTTPS協(xié)議提交請求，都需要在請求中包含簽名（Signature）信息。RDS通過使用Access Key ID和Access Key Secret進行對稱加密的方法來驗證請求的發(fā)送者身份。Access Key ID和Access Key Secret由阿里云官方頒發(fā)給訪問者（可以通過阿里云官方網站申請和管理）。其中，Access Key ID用于標識訪問者的身份，Access Key Secret是用于加密簽名字符串和服務器端驗證簽名字符串的密鑰，必須嚴格保密，只有阿里云和用戶知道。

用戶在訪問時，按照下面的方法對請求進行簽名處理：

1. 使用請求參數(shù)構造規(guī)范化的請求字符串（Canonicalized Query String）。

   1. 按照參數(shù)名稱的字典順序對請求中所有的請求參數(shù)（包括文檔中描述的“公共請求參數(shù)”和給定了的請求接口的自定義參數(shù)，但不能包括“公共請求參數(shù)”中提到Signature參數(shù)本身）進行排序。

      重要

      當使用GET方法提交請求時，這些參數(shù)就是請求URL中的參數(shù)部分（即URL中“?”之后由“&”連接的部分）。

   2. 對每個請求參數(shù)的名稱和值進行編碼。名稱和值要使用UTF-8字符集進行URL編碼，URL編碼的編碼規(guī)則是：

      1. 對于字符 A-Z、a-z、0-9以及字符（-）、（_）、（.）、（~）不編碼。

      2. 對于其他字符編碼成“%XY”的格式，其中XY是字符對應ASCII碼的16進制表示。比如英文的雙引號（”）對應的編碼就是%22。

      3. 對于擴展的UTF-8字符，編碼成“%XY%ZA…”的格式。

      4. 需要說明的是英文空格（ ）要被編碼是%20，而不是加號（+）。

         重要

         一般支持URL編碼的庫（比如Java中的java.net.URLEncoder）都是按照“application/x-www-form-urlencoded”的MIME類型的規(guī)則進行編碼的。實現(xiàn)時可以直接使用這類方式進行編碼，把編碼后的字符串中加號（+）替換成%20、星號（*）替換成%2A、%7E替換回波浪號（~），即可得到上述規(guī)則描述的編碼字符串。

   3. 對編碼后的參數(shù)名稱和值使用英文等號（=）進行連接。

   4. 再把英文等號連接得到的字符串按參數(shù)名稱的字典順序依次使用&符號連接，即得到規(guī)范化請求字符串。

2. 使用上一步構造的規(guī)范化字符串按照下面的規(guī)則構造用于計算簽名的字符串：

   StringToSign=
   HTTPMethod + "&" +
   percentEncode("/") + "&" +
   percentEncode(CanonicalizedQueryString)

   參數(shù)說明：

   • HTTPMethod：提交請求用的HTTP方法，例如GET。

   • percentEncode(“/“)：按照1.ii中描述的URL編碼規(guī)則對字符“/”進行編碼得到的值，即“%2F”。

   • percentEncode(CanonicalizedQueryString)：對第1步中構造的規(guī)范化請求字符串按步驟1.ii中描述的URL編碼規(guī)則編碼后得到的字符串。

3. 按照RFC2104的定義，使用上面的用于簽名的字符串計算簽名HMAC值。

   重要

   計算簽名時使用的Key就是用戶持有的Access Key Secret并加上一個“&”字符（ASCII:38），使用的哈希算法是SHA1。

4. 按照Base64編碼規(guī)則把上面的HMAC值編碼成字符串，即得到簽名值（Signature）。

5. 將得到的簽名值作為Signature參數(shù)添加到請求參數(shù)中，即完成對請求簽名的過程。

   說明

   得到的簽名值在作為最后的請求參數(shù)值提交給RDS服務器的時候，要和其他參數(shù)一樣，按照RFC3986的規(guī)則進行URL編碼。

   以DescribeDBInstances為例，簽名前的請求URL為：

   http://rds.aliyuncs.com/?Timestamp=2013-06-01T10:33:56Z&Format=XML&AccessKeyId=testid&Action=DescribeDBInstances&SignatureMethod=HMAC-SHA1&RegionId=region1&SignatureNonce=NwDAxvLU6tFE0DVb&Version=2014-08-15&SignatureVersion=1.0

   那么StringToSign就是：

   GET&%2F&AccessKeyId%3Dtestid&Action%3DDescribeDBInstances&Format%3DXML&RegionId%3Dregion1&SignatureMethod%3DHMAC-SHA1&SignatureNonce%3DNwDAxvLU6tFE0DVb&SignatureVersion%3D1.0&Timestamp%3D2013-06-01T10%253A33%253A56Z&Version%3D2014-08-15

   假如使用的Access Key Id是“testid”，Access Key Secret是“testsecret”，用于計算HMAC的Key就是“testsecret&”，則計算得到的簽名值是：cNr+cHw3awqsBaWs6J6hcGvnfJE=

   簽名后的請求URL為（注意增加了Signature參數(shù)）：

   http://rds.aliyuncs.com/?Timestamp=2013-06-01T10%3A33%3A56Z&Format=XML&AccessKeyId=testid&Action=DescribeDBInstances&SignatureMethod=HMAC-SHA1&RegionId=region1&SignatureNonce=NwDAxvLU6tFE0DVb&SignatureVersion=1.0&Version=2014-08-15&Signature=cNr%2bcHw3awqsBaWs6J6hcGvnfJE%3d