使用SDK發(fā)起請(qǐng)求
當(dāng)您使用SDK向Tablestore發(fā)起請(qǐng)求時(shí),認(rèn)證系統(tǒng)接收到請(qǐng)求后,通過(guò)憑證來(lái)驗(yàn)證請(qǐng)求發(fā)送者的身份。身份驗(yàn)證成功后,您可以訪問(wèn)相應(yīng)的Tablestore資源。
身份驗(yàn)證
當(dāng)用戶(hù)以個(gè)人身份向Tablestore發(fā)送請(qǐng)求時(shí),身份驗(yàn)證的實(shí)現(xiàn)如下:
用戶(hù)將發(fā)送的請(qǐng)求按照指定的格式生成簽名字符串。
用戶(hù)使用AccessKey Secret對(duì)簽名字符串進(jìn)行加密產(chǎn)生驗(yàn)證碼。
認(rèn)證系統(tǒng)收到請(qǐng)求后,通過(guò)AccessKey ID找到對(duì)應(yīng)的AccessKey Secret,并以同樣的方法提取簽名字符串和驗(yàn)證碼。
如果計(jì)算出來(lái)的驗(yàn)證碼和提供的一致,Tablestore認(rèn)為該請(qǐng)求有效。
如果計(jì)算出來(lái)的驗(yàn)證碼和提供的不一致,Tablestore將拒絕處理這次請(qǐng)求,并返回HTTP 403錯(cuò)誤。
相關(guān)概念
訪問(wèn)密鑰
訪問(wèn)密鑰指的是訪問(wèn)身份驗(yàn)證中用到的AccessKey ID和AccessKey Secret。AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于標(biāo)識(shí)用戶(hù),AccessKey Secret用于驗(yàn)證用戶(hù)的密鑰。身份驗(yàn)證成功后,您將可以操作相應(yīng)的Tablestore資源。
RAM用戶(hù)的AccessKey Secret只在創(chuàng)建時(shí)顯示,不支持查詢(xún),請(qǐng)妥善保管。
阿里云賬號(hào)訪問(wèn)密鑰
開(kāi)始使用阿里云服務(wù)前,首先需要注冊(cè)一個(gè)阿里云賬號(hào)。阿里云賬號(hào)是阿里云資源歸屬、資源使用計(jì)量計(jì)費(fèi)的基本主體。阿里云賬號(hào)為其名下所擁有的資源付費(fèi),并對(duì)其名下所有資源擁有完全控制權(quán)限。
默認(rèn)情況下,資源只能被阿里云賬號(hào)所訪問(wèn),任何其他用戶(hù)訪問(wèn)都需要獲得阿里云賬號(hào)的顯式授權(quán)。阿里云賬號(hào)就是操作系統(tǒng)的root或Administrator,所以我們有時(shí)稱(chēng)它為根賬號(hào)或主賬號(hào)。
阿里云賬號(hào)訪問(wèn)密鑰具有所有資源的訪問(wèn)權(quán)限。每個(gè)阿里云賬號(hào)能夠同時(shí)擁有不超過(guò)5個(gè)訪問(wèn)密鑰。每個(gè)訪問(wèn)密鑰都有以下兩種狀態(tài):
Active:表明訪問(wèn)密鑰處于激活狀態(tài),可以在身份驗(yàn)證的時(shí)候使用。
Inactive:表明訪問(wèn)密鑰處于非激活狀態(tài),不能在身份驗(yàn)證的時(shí)候使用。
阿里云賬號(hào)擁有資源的全部權(quán)限,訪問(wèn)密鑰一旦泄露,會(huì)給系統(tǒng)帶來(lái)巨大風(fēng)險(xiǎn),不建議使用。推薦使用最小化授權(quán)的RAM用戶(hù)的訪問(wèn)密鑰。
RAM用戶(hù)訪問(wèn)密鑰
RAM用戶(hù)也叫RAM賬號(hào),是RAM的一種實(shí)體身份類(lèi)型,有確定的身份ID和身份憑證,它通常與某個(gè)確定的人或應(yīng)用程序一一對(duì)應(yīng)。RAM用戶(hù)具備以下特點(diǎn):
一個(gè)阿里云賬號(hào)下可以創(chuàng)建多個(gè)RAM用戶(hù),對(duì)應(yīng)企業(yè)內(nèi)的員工、系統(tǒng)或應(yīng)用程序。
RAM用戶(hù)不擁有資源,不能獨(dú)立計(jì)量計(jì)費(fèi),由所屬阿里云賬號(hào)統(tǒng)一控制和付費(fèi)。
RAM用戶(hù)歸屬于阿里云賬號(hào),只能在所屬阿里云賬號(hào)的空間下可見(jiàn),而不是獨(dú)立的阿里云賬號(hào)。
RAM用戶(hù)必須在獲得阿里云賬號(hào)的授權(quán)后才能登錄控制臺(tái)或使用API操作阿里云賬號(hào)下的資源。
RAM用戶(hù)訪問(wèn)密鑰指的是RAM用戶(hù)被授權(quán)的訪問(wèn)密鑰。RAM用戶(hù)訪問(wèn)密鑰只能按照RAM定義的規(guī)則去訪問(wèn)Tablestore實(shí)例里的資源。通過(guò)RAM用戶(hù)訪問(wèn)密鑰,您可以集中管理您的用戶(hù)(例如員工、系統(tǒng)或應(yīng)用程序),以及控制用戶(hù)可以訪問(wèn)您名下哪些資源的權(quán)限。例如,能夠限制您的用戶(hù)只擁有對(duì)某一個(gè)Tablestore實(shí)例的讀權(quán)限。
臨時(shí)訪問(wèn)憑證
除了具備永久訪問(wèn)憑證的RAM用戶(hù),阿里云還提供具備臨時(shí)訪問(wèn)憑證的RAM角色。RAM角色是一種虛擬用戶(hù),可以被授予一組權(quán)限策略。與RAM用戶(hù)不同,RAM角色沒(méi)有確定的登錄密碼或訪問(wèn)密鑰,它需要被一個(gè)可信的實(shí)體用戶(hù)(RAM用戶(hù)、阿里云服務(wù)或身份提供商)扮演。扮演成功后實(shí)體用戶(hù)將獲得RAM角色的臨時(shí)訪問(wèn)憑證,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份訪問(wèn)被授權(quán)的資源。
服務(wù)地址
每個(gè)表格存儲(chǔ)實(shí)例對(duì)應(yīng)一個(gè)服務(wù)地址(Endpoint),您使用阿里云SDK向Tablestore發(fā)起請(qǐng)求時(shí)需要指定服務(wù)地址。服務(wù)地址包括公網(wǎng)地址、公網(wǎng)(雙棧)地址、VPC地址和經(jīng)典網(wǎng)地址四種類(lèi)型。更多信息,請(qǐng)參見(jiàn)服務(wù)地址。
請(qǐng)求流程
RAM用戶(hù)訪問(wèn)密鑰請(qǐng)求流程
使用RAM用戶(hù)訪問(wèn)密鑰向Tablestore發(fā)起請(qǐng)求的流程如下:
使用RAM用戶(hù)訪問(wèn)密鑰初始化一個(gè)OTSClient實(shí)例。
調(diào)用OTSClient提供的方法向Tablestore發(fā)起請(qǐng)求。
OTSClient實(shí)例使用RAM用戶(hù)訪問(wèn)密鑰產(chǎn)生簽名,并將簽名添加到該請(qǐng)求中。
具體操作,請(qǐng)參見(jiàn)使用RAM用戶(hù)密鑰發(fā)起請(qǐng)求。
STS臨時(shí)訪問(wèn)憑證請(qǐng)求流程
RAM用戶(hù)可以使用阿里云SDK請(qǐng)求STS臨時(shí)訪問(wèn)憑證,然后使用STS臨時(shí)訪問(wèn)憑證訪問(wèn)Tablestore資源。STS臨時(shí)訪問(wèn)憑證將在設(shè)置的有效時(shí)間到期后失效。
使用STS臨時(shí)訪問(wèn)憑證向Tablestore發(fā)起請(qǐng)求的流程如下:
使用RAM用戶(hù)訪問(wèn)密鑰初始化一個(gè)STSClient實(shí)例。
調(diào)用STS提供的AssumeRole方法獲取被授予特定權(quán)限的RAM角色的STS臨時(shí)訪問(wèn)憑證。
使用STS臨時(shí)訪問(wèn)憑證初始化一個(gè)OTSClient實(shí)例。
使用OTSClient提供的方法向Tablestore發(fā)起請(qǐng)求。
OTSClient實(shí)例使用STS臨時(shí)訪問(wèn)憑證產(chǎn)生簽名,并將簽名添加到該請(qǐng)求中。
具體操作,請(qǐng)參見(jiàn)使用STS臨時(shí)訪問(wèn)憑證發(fā)起請(qǐng)求。
阿里云SDK
阿里云提供以下語(yǔ)言的SDK: