使用 Golang 实现华为云 DMS 服务的 AK/SK 签名机制
构建请求基础结构 在调用华为云 DMS 接口前,需明确请求的核心要素。以查看指定队列为例,所需参数包括:
- 请求路径(URI):如
https://dms.cn-north-1.myhuaweicloud.com/v1.0/{project_id}/queues/{queue_id},其中区域标识(如 cn-north-1)需根据实际环境调整。 - HTTP 方法:本例为
GET。 - 请求头信息:必须包含
Content-Type: application/json,用于声明请求体格式。 - 请求体:部分接口无需内容,可为空。
关键参数准备
project_id:从 IAM 控制台中对应区域的项目列表获取。queue_id:在 DMS 控制台中查看目标队列详情获得。AK/SK:即访问密钥对,需在用户安全设置中生成并妥善保管,是签名计算的基础。
签名算法实现 华为云采用 SDK-HMAC-SHA256 签名协议。推荐使用官方 Go SDK 进行签名处理,避免手动实现带来的错误风险。以下是核心调用流程:
package main
import (
"bytes"
"http"
"io/ioutil"
"time"
"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth"
"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/credentials"
)
func main() {
// 构造请求
url := "https://dms.cn-north-1.myhuaweicloud.com/v1.0/506d66e5/queues/bc8e-86-42-8c-4d2"
req, err := http.NewRequest("GET", url, ioutil.NopCloser(bytes.NewBuffer([]byte{})))
if err != nil {
panic(err)
}
// 设置请求头
req.Header.Set("Content-Type", "application/json")
// 初始化认证凭据
credentials := &credentials.Credentials{
AccessKey: "ABCDE....WYZ",
SecretKey: "123...890",
}
// 创建签名器并执行签名
signer := auth.NewSigner(credentials)
err = signer.Sign(req)
if err != nil {
panic(err)
}
// 此时请求头已自动注入 X-Sdk-Date 与 Authorization
// 打印验证结果:
// Authorization: SDK-HMAC-SHA256 Access=ABCDE....WYZ, SignedHeaders=content-type;x-sdk-date, Signature=0e9d22d370b3b34b6108998c3ced1d99cdb6d813aa41b5efeb7828295bb8f7a8
// X-Sdk-Date: 20191105T083411Z
}
完整请求示例 完成签名后,请求包含以下内容:
- 完整请求地址:
https://dms.cn-north-1.myhuaweicloud.com/v1.0/506d66e5/queues/bc8e-86-42-8c-4d2 - 请求头:
Content-Type: application/jsonX-Sdk-Date: 20191105T083411ZAuthorization: SDK-HMAC-SHA256 Access=ABCDE....WYZ, SignedHeaders=content-type;x-sdk-date, Signature=0e9d22d370b3b34b6108998c3ced1d99cdb6d813aa41b5efeb7828295bb8f7a8- 请求体:空(无有效负载)
使用 Postman 等工具发送该请求,成功响应如下:
{
"id": "bcf28b8e-83e6-4432-870c-413e79e555d2",
"name": "huawei-dms-queue-log-test",
"description": "",
"reservation": 4320,
"created": 1559033038000,
"queue_mode": "KAFKA_HA",
"max_msg_size_byte": 524288,
"produced_messages": 2,
"eff_date": 1559033038000,
"group_count": 1,
"kafka_topic": "k-506dba42b0f146b9a6026653544f66e5-bcf28b8e-83e6-4432-870c-413e79e555d2"
}
签名正确性验证 可通过标准输入校验签名逻辑是否正确。当以下条件成立时:
URI:https://dms.cn-north-1.myhuaweicloud.com/v1.0/506dba42b0f146b9a6026653544f66e5/queues/bcf28b8e-83e6-4432-870c-413e79e555d2AK:ABCDE....WYZSK:123...890X-Sdk-Date:20191105T094500Z
预期签名输出应为:
Authorization: SDK-HMAC-SHA256 Access=ABCDE....WYZ, SignedHeaders=content-type;x-sdk-date, Signature=8e0cb2f284b44795eee578d3484217a929cc1d9347bc6445477322eff15f8743
注意事项 API 调用失败常见于权限配置问题。请确认:
- 当前 AK/SK 所属用户为 IAM 用户;
- 用户所属用户组已绑定 DMS 服务相关策略(如
DMSFullAccess); - 区域与项目 ID 匹配;
- 请求时间戳未过期(建议使用 UTC+0 时间)。
曾因未授权导致返回 402 错误,添加对应 IAM 策略后恢复正常,说明权限配置是关键环节之一。
