คู่มือลายเซ็นดิจิทัล

ลงชื่อคำขอแบบดิจิทัลด้วยคีย์ API

คุณอาจต้องใช้ลายเซ็นดิจิทัลนอกเหนือจากคีย์ API เพื่อตรวจสอบสิทธิ์คำขอ ทั้งนี้ขึ้นอยู่กับการใช้งาน โปรดดูบทความต่อไปนี้

วิธีการทํางานของลายเซ็นดิจิทัล

ระบบจะสร้างลายเซ็นดิจิทัลโดยใช้ความลับการรับรอง URL ซึ่งมีอยู่ในคอนโซล Google Cloud โดยพื้นฐานแล้ว ข้อมูลลับนี้ถือเป็นคีย์ส่วนตัวที่แชร์ระหว่างคุณกับ Google เท่านั้น และเป็นคีย์ที่ไม่ซ้ำกันสำหรับโปรเจ็กต์ของคุณ

กระบวนการลงชื่อใช้อัลกอริทึมการเข้ารหัสเพื่อรวม URL เข้ากับความลับที่แชร์ ลายเซ็นที่ไม่ซ้ำกันที่ได้จะช่วยให้เซิร์ฟเวอร์ของเรายืนยันได้ว่าเว็บไซต์ที่สร้างคําขอโดยใช้คีย์ API ของคุณได้รับอนุญาตให้ทําเช่นนั้น

จำกัดคำขอที่ไม่ได้ลงนาม

วิธีตรวจสอบว่าคีย์ API ยอมรับเฉพาะคำขอที่ลงนามแล้ว

  1. ไปที่หน้าโควต้าของ Google Maps Platform ในคอนโซล Cloud
  2. คลิกเมนูแบบเลื่อนลงของโปรเจ็กต์ แล้วเลือกโปรเจ็กต์เดียวกับที่ใช้เมื่อสร้างคีย์ API สําหรับแอปพลิเคชันหรือเว็บไซต์
  3. เลือก Maps Static API หรือ Street View Static API จากเมนูแบบเลื่อนลงของ API
  4. ขยายส่วนคําขอที่ไม่ได้ลงนาม
  5. ในตารางชื่อโควต้า ให้คลิกปุ่มแก้ไขข้างโควต้าที่ต้องการแก้ไข เช่น คำขอที่ไม่ได้ลงนามต่อวัน
  6. อัปเดตขีดจำกัดโควต้าในแผงแก้ไขขีดจำกัดโควต้า
  7. เลือกบันทึก

การเซ็นชื่อในคำขอ

การเซ็นชื่อในคำขอประกอบด้วยขั้นตอนต่อไปนี้

ขั้นตอนที่ 1: รับความลับการรับรอง URL

วิธีรับข้อมูลลับใน URL Signing ของโปรเจ็กต์

  1. ไปที่หน้าข้อมูลเข้าสู่ระบบแพลตฟอร์ม Google Maps ในคอนโซล Cloud
  2. เลือกเมนูแบบเลื่อนลงของโปรเจ็กต์ แล้วเลือกโปรเจ็กต์เดียวกับที่คุณใช้เมื่อสร้างคีย์ API สำหรับ Maps Static API หรือ Street View Static API
  3. เลื่อนลงไปที่การ์ดเครื่องมือสร้างรหัสผ่าน ช่องข้อมูลลับปัจจุบันจะมีข้อมูลลับในการลงนาม URL ในปัจจุบัน
  4. หน้านี้ยังมีวิดเจ็ตลงชื่อ URL ตอนนี้ที่ช่วยให้คุณลงชื่อคําขอ Maps Static API หรือ Street View Static API โดยอัตโนมัติได้โดยใช้ข้อมูลลับการลงชื่อปัจจุบัน เลื่อนลงไปที่การ์ดลงชื่อ URL เลยเพื่อเข้าถึง

หากต้องการรับข้อมูลลับสำหรับการลงนาม URL ใหม่ ให้เลือกสร้างข้อมูลลับอีกครั้ง ข้อมูลลับก่อนหน้าจะหมดอายุใน 24 ชั่วโมงหลังจากที่คุณสร้างข้อมูลลับใหม่ หลังจากผ่านไป 24 ชั่วโมง คำขอที่มีข้อมูลลับเดิมจะใช้ไม่ได้อีกต่อไป

ขั้นตอนที่ 2: สร้างคำขอที่ไม่ได้ลงนาม

อักขระที่ไม่อยู่ในตารางด้านล่างต้องเข้ารหัส URL

สรุปอักขระของ URL ที่ถูกต้อง
ตั้งค่าอักขระการใช้งาน URL
ตัวอักษรและตัวเลขคละกัน a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9 สตริงข้อความ การใช้รูปแบบ (http) พอร์ต (8080) ฯลฯ
ไม่ได้จอง - _ . ~ สตริงข้อความ
จองแล้ว ! * ' ( ) ; : @ & = + $ , / ? % # [ ] อักขระควบคุมและ/หรือสตริงข้อความ

เช่นเดียวกันกับอักขระในชุดที่สงวนไว้ หากส่งภายในสตริงข้อความ ดูข้อมูลเพิ่มเติมได้ที่อักขระพิเศษ

สร้าง URL คำขอที่ไม่ได้ลงนามโดยไม่มีลายเซ็น ดูวิธีการได้ที่เอกสารประกอบสําหรับนักพัฒนาแอปต่อไปนี้

อย่าลืมใส่คีย์ API ในพารามิเตอร์ key ด้วย เช่น

https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY

สร้างคำขอที่ลงนามแล้ว

สำหรับกรณีการใช้งานแบบครั้งเดียว เช่น โฮสติ้ง Maps Static API หรือรูปภาพ Street View Static API ง่ายๆ ในหน้าเว็บ หรือเพื่อวัตถุประสงค์ในการแก้ปัญหา คุณสามารถสร้างลายเซ็นดิจิทัลโดยอัตโนมัติได้โดยใช้วิดเจ็ต Sign a URL now ที่มีให้

สําหรับคําขอที่สร้างขึ้นแบบไดนามิก คุณต้องมีการลงชื่อฝั่งเซิร์ฟเวอร์ ซึ่งต้องใช้ขั้นตอนกลางเพิ่มเติมอีก 2-3 ขั้นตอน

ไม่ว่าจะใช้วิธีใด คุณก็จะได้ URL คำขอที่มีพารามิเตอร์ signature ต่อท้าย เช่น

https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY
&signature=BASE64_SIGNATURE
การใช้วิดเจ็ตลงชื่อ URL เลย

วิธีสร้างลายเซ็นดิจิทัลด้วย คีย์ API โดยใช้วิดเจ็ตลงชื่อ URL ตอนนี้ในคอนโซล Google Cloud

  1. ค้นหาวิดเจ็ตลงนาม URL เลย ตามที่อธิบายไว้ในขั้นตอนที่ 1: รับข้อมูลลับการลงนาม URL
  2. ในช่อง URL ให้วาง URL คำขอที่ไม่มีการรับรองจากขั้นตอนที่ 2: สร้างคำขอที่ไม่มีการรับรอง
  3. ฟิลด์ URL ที่ลงนามของคุณที่ปรากฏจะมี URL ที่มีการเซ็นชื่อแบบดิจิทัล อย่าลืมทำสำเนา
สร้างลายเซ็นดิจิทัลฝั่งเซิร์ฟเวอร์

เมื่อเทียบกับวิดเจ็ตลงนาม URL ตอนนี้ คุณจะต้องดําเนินการเพิ่มเติมอีก 2-3 อย่างเมื่อสร้างลายเซ็นดิจิทัลฝั่งเซิร์ฟเวอร์

  1. นำรูปแบบโปรโตคอลและโฮสต์ออกจาก URL เหลือไว้เฉพาะเส้นทางและการค้นหา

    2. /maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY

  2. ข้อมูลลับการลงชื่อ URL ที่แสดงจะเข้ารหัสในรูปแบบ Base64 ที่แก้ไขแล้วสำหรับ URL

    เนื่องจากคลังวิทยาการเข้ารหัสส่วนใหญ่กำหนดให้คีย์อยู่ในรูปแบบไบต์ดิบ คุณจึงอาจต้องถอดรหัสความลับในการลงนาม URL เป็นรูปแบบดิบเดิมก่อนลงนาม

  3. ลงนามในคำขอที่ลบข้อมูลด้านบนโดยใช้ HMAC-SHA1

  4. เนื่องจากไลบรารีการเข้ารหัสส่วนใหญ่สร้างลายเซ็นในรูปแบบไบต์ดิบ คุณจึงต้องแปลงลายเซ็นไบนารีที่ได้โดยใช้ Base64 ที่แก้ไขแล้วสำหรับ URL เพื่อแปลงลายเซ็นดังกล่าวให้อยู่ในรูปแบบที่ส่งภายใน URL ได้

  5. ต่อลายเซ็นที่เข้ารหัส Base64 ไปยัง URL คำขอเดิมที่ไม่ได้ลงนามในพารามิเตอร์ signature เช่น

    https://maps.googleapis.com/maps/api/staticmap?center=Z%C3%BCrich&size=400x400&key=YOUR_API_KEY
&signature=BASE64_SIGNATURE

ดูตัวอย่างที่แสดงวิธีใช้การรับรอง URL โดยใช้โค้ดฝั่งเซิร์ฟเวอร์ได้ที่โค้ดตัวอย่างสำหรับการรับรอง URL ด้านล่าง

ตัวอย่างโค้ดสําหรับการลงชื่อ URL

ส่วนต่อไปนี้แสดงวิธีใช้การรับรอง URL โดยใช้โค้ดฝั่งเซิร์ฟเวอร์ URL ควรได้รับการรับรองฝั่งเซิร์ฟเวอร์เสมอเพื่อหลีกเลี่ยงการเปิดเผยความลับการรับรอง URL แก่ผู้ใช้

Python

ตัวอย่างด้านล่างใช้ไลบรารี Python มาตรฐานเพื่อลงนาม URL (ดาวน์โหลดรหัส)

#!/usr/bin/python
# -*- coding: utf-8 -*-
""" Signs a URL using a URL signing secret """

import hashlib
import hmac
import base64
import urllib.parse as urlparse


def sign_url(input_url=None, secret=None):
    """ Sign a request URL with a URL signing secret.
      Usage:
      from urlsigner import sign_url
      signed_url = sign_url(input_url=my_url, secret=SECRET)
      Args:
      input_url - The URL to sign
      secret    - Your URL signing secret
      Returns:
      The signed request URL
  """

    if not input_url or not secret:
        raise Exception("Both input_url and secret are required")

    url = urlparse.urlparse(input_url)

    # We only need to sign the path+query part of the string
    url_to_sign = url.path + "?" + url.query

    # Decode the private key into its binary format
    # We need to decode the URL-encoded private key
    decoded_key = base64.urlsafe_b64decode(secret)

    # Create a signature using the private key and the URL-encoded
    # string using HMAC SHA1. This signature will be binary.
    signature = hmac.new(decoded_key, str.encode(url_to_sign), hashlib.sha1)

    # Encode the binary signature into base64 for use within a URL
    encoded_signature = base64.urlsafe_b64encode(signature.digest())

    original_url = url.scheme + "://" + url.netloc + url.path + "?" + url.query

    # Return signed URL
    return original_url + "&signature=" + encoded_signature.decode()


if __name__ == "__main__":
    input_url = input("URL to Sign: ")
    secret = input("URL signing secret: ")
    print("Signed URL: " + sign_url(input_url, secret))

Java

ตัวอย่างด้านล่างใช้คลาส java.util.Base64 ที่มีให้ตั้งแต่ JDK 1.8 - เวอร์ชันเก่าอาจต้องใช้ Apache Commons หรือที่คล้ายกัน (ดาวน์โหลดรหัส)

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.net.URI;
import java.net.URISyntaxException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;  // JDK 1.8 only - older versions may need to use Apache Commons or similar.
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.net.URL;
import java.io.BufferedReader;
import java.io.InputStreamReader;

public class UrlSigner {

  // Note: Generally, you should store your private key someplace safe
  // and read them into your code

  private static String keyString = "YOUR_PRIVATE_KEY";
  
  // The URL shown in these examples is a static URL which should already
  // be URL-encoded. In practice, you will likely have code
  // which assembles your URL from user or web service input
  // and plugs those values into its parameters.
  private static String urlString = "YOUR_URL_TO_SIGN";

  // This variable stores the binary key, which is computed from the string (Base64) key
  private static byte[] key;
  
  public static void main(String[] args) throws IOException,
    InvalidKeyException, NoSuchAlgorithmException, URISyntaxException {
    
    BufferedReader input = new BufferedReader(new InputStreamReader(System.in));
    
    String inputUrl, inputKey = null;

    // For testing purposes, allow user input for the URL.
    // If no input is entered, use the static URL defined above.    
    System.out.println("Enter the URL (must be URL-encoded) to sign: ");
    inputUrl = input.readLine();
    if (inputUrl.equals("")) {
      inputUrl = urlString;
    }
    
    // Convert the string to a URL so we can parse it
    URL url = new URL(inputUrl);
 
    // For testing purposes, allow user input for the private key.
    // If no input is entered, use the static key defined above.   
    System.out.println("Enter the Private key to sign the URL: ");
    inputKey = input.readLine();
    if (inputKey.equals("")) {
      inputKey = keyString;
    }
    
    UrlSigner signer = new UrlSigner(inputKey);
    String request = signer.signRequest(url.getPath(),url.getQuery());
    
    System.out.println("Signed URL :" + url.getProtocol() + "://" + url.getHost() + request);
  }
  
  public UrlSigner(String keyString) throws IOException {
    // Convert the key from 'web safe' base 64 to binary
    keyString = keyString.replace('-', '+');
    keyString = keyString.replace('_', '/');
    System.out.println("Key: " + keyString);
    // Base64 is JDK 1.8 only - older versions may need to use Apache Commons or similar.
    this.key = Base64.getDecoder().decode(keyString);
  }

  public String signRequest(String path, String query) throws NoSuchAlgorithmException,
    InvalidKeyException, UnsupportedEncodingException, URISyntaxException {
    
    // Retrieve the proper URL components to sign
    String resource = path + '?' + query;
    
    // Get an HMAC-SHA1 signing key from the raw key bytes
    SecretKeySpec sha1Key = new SecretKeySpec(key, "HmacSHA1");

    // Get an HMAC-SHA1 Mac instance and initialize it with the HMAC-SHA1 key
    Mac mac = Mac.getInstance("HmacSHA1");
    mac.init(sha1Key);

    // compute the binary signature for the request
    byte[] sigBytes = mac.doFinal(resource.getBytes());

    // base 64 encode the binary signature
    // Base64 is JDK 1.8 only - older versions may need to use Apache Commons or similar.
    String signature = Base64.getEncoder().encodeToString(sigBytes);
    
    // convert the signature to 'web safe' base 64
    signature = signature.replace('+', '-');
    signature = signature.replace('/', '_');
    
    return resource + "&signature=" + signature;
  }
}

Node.js

ตัวอย่างด้านล่างใช้โมดูล Node ดั้งเดิมเพื่อลงนาม URL (ดาวน์โหลดรหัส)

'use strict'

const crypto = require('crypto');
const url = require('url');

/**
 * Convert from 'web safe' base64 to true base64.
 *
 * @param  {string} safeEncodedString The code you want to translate
 *                                    from a web safe form.
 * @return {string}
 */
function removeWebSafe(safeEncodedString) {
  return safeEncodedString.replace(/-/g, '+').replace(/_/g, '/');
}

/**
 * Convert from true base64 to 'web safe' base64
 *
 * @param  {string} encodedString The code you want to translate to a
 *                                web safe form.
 * @return {string}
 */
function makeWebSafe(encodedString) {
  return encodedString.replace(/\+/g, '-').replace(/\//g, '_');
}

/**
 * Takes a base64 code and decodes it.
 *
 * @param  {string} code The encoded data.
 * @return {string}
 */
function decodeBase64Hash(code) {
  // "new Buffer(...)" is deprecated. Use Buffer.from if it exists.
  return Buffer.from ? Buffer.from(code, 'base64') : new Buffer(code, 'base64');
}

/**
 * Takes a key and signs the data with it.
 *
 * @param  {string} key  Your unique secret key.
 * @param  {string} data The url to sign.
 * @return {string}
 */
function encodeBase64Hash(key, data) {
  return crypto.createHmac('sha1', key).update(data).digest('base64');
}

/**
 * Sign a URL using a secret key.
 *
 * @param  {string} path   The url you want to sign.
 * @param  {string} secret Your unique secret key.
 * @return {string}
 */
function sign(path, secret) {
  const uri = url.parse(path);
  const safeSecret = decodeBase64Hash(removeWebSafe(secret));
  const hashedSignature = makeWebSafe(encodeBase64Hash(safeSecret, uri.path));
  return url.format(uri) + '&signature=' + hashedSignature;
}

C#

ตัวอย่างด้านล่างใช้ไลบรารี System.Security.Cryptography เริ่มต้นเพื่อลงนามในคําขอ URL โปรดทราบว่าเราต้องแปลงการเข้ารหัส Base64 เริ่มต้นเพื่อใช้เวอร์ชันที่ปลอดภัยสำหรับ URL (ดาวน์โหลดรหัส)

using System;
using System.Collections.Generic;
using System.Security.Cryptography;
using System.Text;
using System.Text.RegularExpressions;
using System.Web;

namespace SignUrl {

  public struct GoogleSignedUrl {

    public static string Sign(string url, string keyString) {
      ASCIIEncoding encoding = new ASCIIEncoding();

      // converting key to bytes will throw an exception, need to replace '-' and '_' characters first.
      string usablePrivateKey = keyString.Replace("-", "+").Replace("_", "/");
      byte[] privateKeyBytes = Convert.FromBase64String(usablePrivateKey);

      Uri uri = new Uri(url);
      byte[] encodedPathAndQueryBytes = encoding.GetBytes(uri.LocalPath + uri.Query);

      // compute the hash
      HMACSHA1 algorithm = new HMACSHA1(privateKeyBytes);
      byte[] hash = algorithm.ComputeHash(encodedPathAndQueryBytes);

      // convert the bytes to string and make url-safe by replacing '+' and '/' characters
      string signature = Convert.ToBase64String(hash).Replace("+", "-").Replace("/", "_");
            
      // Add the signature to the existing URI.
      return uri.Scheme+"://"+uri.Host+uri.LocalPath + uri.Query +"&signature=" + signature;
    }
  }

  class Program {

    static void Main() {
    
      // Note: Generally, you should store your private key someplace safe
      // and read them into your code

      const string keyString = "YOUR_PRIVATE_KEY";
  
      // The URL shown in these examples is a static URL which should already
      // be URL-encoded. In practice, you will likely have code
      // which assembles your URL from user or web service input
      // and plugs those values into its parameters.
      const  string urlString = "YOUR_URL_TO_SIGN";
      
      string inputUrl = null;
      string inputKey = null;
    
      Console.WriteLine("Enter the URL (must be URL-encoded) to sign: ");
      inputUrl = Console.ReadLine();
      if (inputUrl.Length == 0) {
        inputUrl = urlString;
      }     
    
      Console.WriteLine("Enter the Private key to sign the URL: ");
      inputKey = Console.ReadLine();
      if (inputKey.Length == 0) {
        inputKey = keyString;
      }
      
      Console.WriteLine(GoogleSignedUrl.Sign(inputUrl,inputKey));
    }
  }
}

ตัวอย่างในภาษาอื่นๆ

ดูตัวอย่างที่ครอบคลุมภาษาอื่นๆ ได้ในโปรเจ็กต์การรับรอง URL

การแก้ปัญหา

หากคําขอมีลายเซ็นที่ไม่ถูกต้อง API จะแสดงข้อผิดพลาด HTTP 403 (Forbidden) ข้อผิดพลาดนี้มักเกิดขึ้นหากความลับการรับรองที่ใช้ไม่ได้ลิงก์กับคีย์ API ที่ส่ง หรือหากอินพุตที่ไม่ใช่ ASCII ไม่ได้เข้ารหัส URL ก่อนการรับรอง

หากต้องการแก้ปัญหา ให้คัดลอก URL คำขอ ลบพารามิเตอร์ signature query ออก แล้วสร้างลายเซ็นที่ถูกต้องอีกครั้งโดยทำตามวิธีการด้านล่าง

วิธีสร้างลายเซ็นดิจิทัลด้วย คีย์ API โดยใช้วิดเจ็ตลงนาม URL เลยในคอนโซล Google Cloud

  1. ค้นหาวิดเจ็ตลงนาม URL เลย ตามที่อธิบายไว้ในขั้นตอนที่ 1: รับข้อมูลลับสำหรับการลงนาม URL
  2. ในช่อง URL ให้วาง URL คำขอที่ไม่มีการรับรองจากขั้นตอนที่ 2: สร้างคำขอที่ไม่มีการรับรอง
  3. ฟิลด์ URL ที่ลงนามของคุณที่ปรากฏจะมี URL ที่มีการเซ็นชื่อแบบดิจิทัล อย่าลืมทำสำเนา