Podpisz cyfrowo żądanie za pomocą klucza interfejsu API
W zależności od sposobu używania do uwierzytelniania żądań może być wymagany podpis cyfrowy – oprócz klucza interfejsu API. Przeczytaj te artykuły:
- Inne limity wykorzystania interfejsu statycznego interfejsu API Map Google
- Inne limity wykorzystania statycznego interfejsu Street View
Jak działają podpisy cyfrowe
Podpisy cyfrowe są generowane przy użyciu tajnego klucza adresu URL dostępnego w Google Cloud Console. Zasadniczo jest to klucz prywatny, dostępny tylko między Tobą a Google i unikalny dla Twojego projektu.
W trakcie procesu podpisywania używany jest algorytm szyfrowania łączący adres URL z udostępnionym obiektem tajnym. Powstały, unikalny podpis pozwala naszym serwerom sprawdzać, czy wszystkie witryny generujące żądania przy użyciu klucza interfejsu API mają odpowiednie uprawnienia.
Ogranicz niepodpisane żądania
Aby mieć pewność, że klucz interfejsu API akceptuje tylko podpisane żądania:
- Otwórz stronę Limity Google Maps Platform w Cloud Console.
- Kliknij menu projektu i wybierz ten sam projekt, który został użyty podczas tworzenia klucza interfejsu API dla Twojej aplikacji lub witryny.
- W menu Interfejsy API wybierz Statyczny interfejs API Map Google lub Street View Static API.
- Rozwiń sekcję Niepodpisane żądania.
- W tabeli Nazwa limitu kliknij przycisk edycji obok limitu, który chcesz edytować. Przykład: Niepodpisane żądania dziennie.
- Zaktualizuj Limit limitu w panelu Edytuj limit.
- Kliknij Zapisz.
Podpisywanie żądań
Aby to zrobić:
- Krok 1. Uzyskaj tajny klucz logowania
- Krok 2. Utwórz niepodpisane żądanie
- Krok 3. Wygeneruj podpisane żądanie
Krok 1. Uzyskaj tajny klucz podpisywania URL-a
Aby uzyskać tajny klucz logowania do projektu:
- Otwórz stronę Dane logowania Google Maps Platform w Cloud Console.
- Wybierz menu projektu i wybierz ten sam projekt, który został użyty podczas tworzenia klucza interfejsu API dla interfejsu statycznego interfejsu API Map Google lub interfejsu Street View Static API.
- Przewiń w dół do karty Generator tajny. Pole Bieżący obiekt tajny zawiera aktualny tajny klucz logowania.
- Na stronie jest też dostępny widżet Sign URL a teraz, który umożliwia automatyczne podpisywanie statycznego interfejsu API Map Google i żądania statycznego interfejsu API Street View przy użyciu bieżącego tajnego klucza. Przewiń w dół do karty Podpisz URL.
Aby uzyskać nowy tajny klucz logowania, wybierz Wygeneruj ponownie obiekt tajny. Poprzedni tajny klucz wygaśnie po 24 godzinach od wygenerowania nowego obiektu tajnego. Po upływie 24 godzin żądania zawierające stary obiekt tajny przestaną działać.
Krok 2. Utwórz niepodpisane żądanie
Znaki niewidoczne w tabeli poniżej muszą być zakodowane na potrzeby adresu URL:
| Ustaw | znaków | Użycie adresu URL |
|---|---|---|
| Znaki alfanumeryczne | a b c d e k g g h i j k l m n o p k r s k t n k x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 9 6 7 7 | Ciągi tekstowe, wykorzystanie schematu (http), port (8080) itd. |
| Niezarezerwowane | – _ . ~ | Ciągi tekstowe |
| Zarezerwowano | ! * ' ( ) ; : @ & = + $ , / ? % # [ ] | Kontrolowanie znaków i/lub ciągów tekstowych |
To samo dotyczy znaków w zbiorze zarezerwowanym, jeśli są one przekazywane w ciągu tekstowym. Więcej informacji znajdziesz w sekcji Znaki specjalne.
Utwórz niepodpisany URL żądania bez podpisu. Instrukcje znajdziesz w tej dokumentacji dla programistów:
Pamiętaj, aby uwzględnić klucz interfejsu API w parametrze key. Na przykład:
https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY
Wygeneruj podpisane żądanie
W przypadkach jednorazowych, np. hostowania prostego obrazu interfejsu statycznego interfejsu API Map Google lub Street View Static API na stronie internetowej albo rozwiązywania problemów, możesz automatycznie wygenerować podpis cyfrowy, korzystając z dostępnego widżetu Podpisz URL.
W przypadku żądań generowanych dynamicznie konieczne jest podpisanie po stronie serwera, co wymaga wykonania kilku dodatkowych czynności pośrednich.
W obu przypadkach musisz kończyć się adresem URL żądania z parametrem signature. Na przykład:
https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY
&signature=BASE64_SIGNATURE
Korzystanie z podpisu pod adresem URL
Aby wygenerować podpis cyfrowy przy użyciu klucza interfejsu API, korzystając z widżetu Podpisz URL teraz w konsoli Google Cloud:
- Znajdź widżet Podpisz URL teraz zgodnie z opisem w kroku 1. Pobierz tajny klucz logowania.
- W polu URL wklej adres URL niepodpisanego żądania z Kroku 2. Utwórz niepodpisane żądanie.
- W polu Twój podpisany adres URL pojawi się adres URL podpisany cyfrowo. Utwórz kopię.
Wygeneruj podpisy cyfrowe po stronie serwera
W porównaniu z widżetem Podpisz URL teraz trzeba wykonać kilka dodatkowych czynności przy generowaniu podpisów cyfrowych po stronie serwera:
-
Usuń schemat protokołu i fragmenty hosta, pozostawiając tylko ścieżkę i zapytanie:
-
Wyświetlany tajny klucz podpisywania jest zakodowany w zmodyfikowanym Base64 dla adresów URL.
W większości bibliotek kryptograficznych klucz musi mieć nieprzetworzony format w bajtach, dlatego przed podpisaniem musisz prawdopodobnie odszyfrować tajny klucz podpisywania URL-a w oryginalnym formacie.
- Podpisz porzucone żądanie za pomocą HMAC-SHA1.
-
Większość bibliotek kryptograficznych generuje podpis w nieprzetworzonym formacie bajtów, dlatego musisz przekonwertować wynikowy podpis binarny, używając zmodyfikowanego elementu Base64 do postaci adresów URL, które można przekazywać w adresie URL.
-
Dołącz parametr zakodowany w standardzie Base64 do pierwotnego niepodpisanego adresu URL w parametrze
signature. Na przykład:https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY &signature=BASE64_SIGNATURE
/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY
Przykładowe sposoby implementacji podpisywania adresów URL za pomocą kodu po stronie serwera znajdziesz poniżej w sekcji Przykładowy kod do podpisywania URL-i.
Przykładowy kod podpisywania URL-a
Poniżej dowiesz się, jak wdrożyć podpisywanie adresów URL za pomocą kodu po stronie serwera. Adresy URL powinny być zawsze podpisywane po stronie serwera, aby uniknąć udostępniania użytkownikom tajnego klucza adresu URL.
Python
W przykładzie poniżej do podpisywania adresu URL używane są standardowe biblioteki Pythona. (Pobierz kod).
#!/usr/bin/python
# -*- coding: utf-8 -*-
""" Signs a URL using a URL signing secret """
import hashlib
import hmac
import base64
import urllib.parse as urlparse
def sign_url(input_url=None, secret=None):
""" Sign a request URL with a URL signing secret.
Usage:
from urlsigner import sign_url
signed_url = sign_url(input_url=my_url, secret=SECRET)
Args:
input_url - The URL to sign
secret - Your URL signing secret
Returns:
The signed request URL
"""
if not input_url or not secret:
raise Exception("Both input_url and secret are required")
url = urlparse.urlparse(input_url)
# We only need to sign the path+query part of the string
url_to_sign = url.path + "?" + url.query
# Decode the private key into its binary format
# We need to decode the URL-encoded private key
decoded_key = base64.urlsafe_b64decode(secret)
# Create a signature using the private key and the URL-encoded
# string using HMAC SHA1. This signature will be binary.
signature = hmac.new(decoded_key, str.encode(url_to_sign), hashlib.sha1)
# Encode the binary signature into base64 for use within a URL
encoded_signature = base64.urlsafe_b64encode(signature.digest())
original_url = url.scheme + "://" + url.netloc + url.path + "?" + url.query
# Return signed URL
return original_url + "&signature=" + encoded_signature.decode()
if __name__ == "__main__":
input_url = input("URL to Sign: ")
secret = input("URL signing secret: ")
print("Signed URL: " + sign_url(input_url, secret))
Java
W poniższym przykładzie używamy klasy java.util.Base64 dostępnej od JDK 1.8. W starszych wersjach może być konieczne użycie Apache Commons lub podobnej.
(Pobierz kod).
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.net.URI;
import java.net.URISyntaxException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64; // JDK 1.8 only - older versions may need to use Apache Commons or similar.
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.net.URL;
import java.io.BufferedReader;
import java.io.InputStreamReader;
public class UrlSigner {
// Note: Generally, you should store your private key someplace safe
// and read them into your code
private static String keyString = "YOUR_PRIVATE_KEY";
// The URL shown in these examples is a static URL which should already
// be URL-encoded. In practice, you will likely have code
// which assembles your URL from user or web service input
// and plugs those values into its parameters.
private static String urlString = "YOUR_URL_TO_SIGN";
// This variable stores the binary key, which is computed from the string (Base64) key
private static byte[] key;
public static void main(String[] args) throws IOException,
InvalidKeyException, NoSuchAlgorithmException, URISyntaxException {
BufferedReader input = new BufferedReader(new InputStreamReader(System.in));
String inputUrl, inputKey = null;
// For testing purposes, allow user input for the URL.
// If no input is entered, use the static URL defined above.
System.out.println("Enter the URL (must be URL-encoded) to sign: ");
inputUrl = input.readLine();
if (inputUrl.equals("")) {
inputUrl = urlString;
}
// Convert the string to a URL so we can parse it
URL url = new URL(inputUrl);
// For testing purposes, allow user input for the private key.
// If no input is entered, use the static key defined above.
System.out.println("Enter the Private key to sign the URL: ");
inputKey = input.readLine();
if (inputKey.equals("")) {
inputKey = keyString;
}
UrlSigner signer = new UrlSigner(inputKey);
String request = signer.signRequest(url.getPath(),url.getQuery());
System.out.println("Signed URL :" + url.getProtocol() + "://" + url.getHost() + request);
}
public UrlSigner(String keyString) throws IOException {
// Convert the key from 'web safe' base 64 to binary
keyString = keyString.replace('-', '+');
keyString = keyString.replace('_', '/');
System.out.println("Key: " + keyString);
// Base64 is JDK 1.8 only - older versions may need to use Apache Commons or similar.
this.key = Base64.getDecoder().decode(keyString);
}
public String signRequest(String path, String query) throws NoSuchAlgorithmException,
InvalidKeyException, UnsupportedEncodingException, URISyntaxException {
// Retrieve the proper URL components to sign
String resource = path + '?' + query;
// Get an HMAC-SHA1 signing key from the raw key bytes
SecretKeySpec sha1Key = new SecretKeySpec(key, "HmacSHA1");
// Get an HMAC-SHA1 Mac instance and initialize it with the HMAC-SHA1 key
Mac mac = Mac.getInstance("HmacSHA1");
mac.init(sha1Key);
// compute the binary signature for the request
byte[] sigBytes = mac.doFinal(resource.getBytes());
// base 64 encode the binary signature
// Base64 is JDK 1.8 only - older versions may need to use Apache Commons or similar.
String signature = Base64.getEncoder().encodeToString(sigBytes);
// convert the signature to 'web safe' base 64
signature = signature.replace('+', '-');
signature = signature.replace('/', '_');
return resource + "&signature=" + signature;
}
}
Node JS
W przykładzie poniżej do podpisywania adresu URL użyto natywnych węzłów węzła. (Pobierz kod).
'use strict'
const crypto = require('crypto');
const url = require('url');
/**
* Convert from 'web safe' base64 to true base64.
*
* @param {string} safeEncodedString The code you want to translate
* from a web safe form.
* @return {string}
*/
function removeWebSafe(safeEncodedString) {
return safeEncodedString.replace(/-/g, '+').replace(/_/g, '/');
}
/**
* Convert from true base64 to 'web safe' base64
*
* @param {string} encodedString The code you want to translate to a
* web safe form.
* @return {string}
*/
function makeWebSafe(encodedString) {
return encodedString.replace(/\+/g, '-').replace(/\//g, '_');
}
/**
* Takes a base64 code and decodes it.
*
* @param {string} code The encoded data.
* @return {string}
*/
function decodeBase64Hash(code) {
// "new Buffer(...)" is deprecated. Use Buffer.from if it exists.
return Buffer.from ? Buffer.from(code, 'base64') : new Buffer(code, 'base64');
}
/**
* Takes a key and signs the data with it.
*
* @param {string} key Your unique secret key.
* @param {string} data The url to sign.
* @return {string}
*/
function encodeBase64Hash(key, data) {
return crypto.createHmac('sha1', key).update(data).digest('base64');
}
/**
* Sign a URL using a secret key.
*
* @param {string} path The url you want to sign.
* @param {string} secret Your unique secret key.
* @return {string}
*/
function sign(path, secret) {
const uri = url.parse(path);
const safeSecret = decodeBase64Hash(removeWebSafe(secret));
const hashedSignature = makeWebSafe(encodeBase64Hash(safeSecret, uri.path));
return url.format(uri) + '&signature=' + hashedSignature;
}
C#
W poniższym przykładzie do podpisywania żądania adresu URL użyto domyślnej biblioteki System.Security.Cryptography.
Pamiętaj, że aby zaimplementować wersję bezpieczną do adresu URL, musimy przekonwertować domyślne kodowanie Base64.
(Pobierz kod).
using System;
using System.Collections.Generic;
using System.Security.Cryptography;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;
namespace SignUrl {
public struct GoogleSignedUrl {
public static string Sign(string url, string keyString) {
ASCIIEncoding encoding = new ASCIIEncoding();
// converting key to bytes will throw an exception, need to replace '-' and '_' characters first.
string usablePrivateKey = keyString.Replace("-", "+").Replace("_", "/");
byte[] privateKeyBytes = Convert.FromBase64String(usablePrivateKey);
Uri uri = new Uri(url);
byte[] encodedPathAndQueryBytes = encoding.GetBytes(uri.LocalPath + uri.Query);
// compute the hash
HMACSHA1 algorithm = new HMACSHA1(privateKeyBytes);
byte[] hash = algorithm.ComputeHash(encodedPathAndQueryBytes);
// convert the bytes to string and make url-safe by replacing '+' and '/' characters
string signature = Convert.ToBase64String(hash).Replace("+", "-").Replace("/", "_");
// Add the signature to the existing URI.
return uri.Scheme+"://"+uri.Host+uri.LocalPath + uri.Query +"&signature=" + signature;
}
}
class Program {
static void Main() {
// Note: Generally, you should store your private key someplace safe
// and read them into your code
const string keyString = "YOUR_PRIVATE_KEY";
// The URL shown in these examples is a static URL which should already
// be URL-encoded. In practice, you will likely have code
// which assembles your URL from user or web service input
// and plugs those values into its parameters.
const string urlString = "YOUR_URL_TO_SIGN";
string inputUrl = null;
string inputKey = null;
Console.WriteLine("Enter the URL (must be URL-encoded) to sign: ");
inputUrl = Console.ReadLine();
if (inputUrl.Length == 0) {
inputUrl = urlString;
}
Console.WriteLine("Enter the Private key to sign the URL: ");
inputKey = Console.ReadLine();
if (inputKey.Length == 0) {
inputKey = keyString;
}
Console.WriteLine(GoogleSignedUrl.Sign(inputUrl,inputKey));
}
}
}
Przykłady w dodatkowych językach
W projekcie podpisywania adresów URL dostępne są przykłady obejmujące więcej języków.
Rozwiązywanie problemów
Jeśli żądanie zawiera nieprawidłowy podpis, interfejs API zwróci błąd HTTP 403 (Forbidden). Ten błąd występuje najczęściej, jeśli używany tajny klucz podpisywania nie jest połączony z przekazanym kluczem interfejsu API lub jeśli dane wejściowe bez ASCII nie są zakodowane na podstawie adresu URL przed podpisaniem.
Aby rozwiązać ten problem, skopiuj adres URL żądania, usuń parametr zapytania signature i ponownie wygeneruj prawidłowy podpis, wykonując te instrukcje:
Aby wygenerować podpis cyfrowy przy użyciu klucza interfejsu API, korzystając z widżetu Podpisz URL teraz w konsoli Google Cloud:
- Znajdź widżet Podpisz URL teraz zgodnie z opisem w kroku 1. Pobierz tajny klucz logowania.
- W polu URL wklej adres URL niepodpisanego żądania z Kroku 2. Utwórz niepodpisane żądanie.
- W polu Twój podpisany adres URL pojawi się adres URL podpisany cyfrowo. Utwórz kopię.