云服务中使用的AK/SK简单介绍

ak和sk是什么？

• AK:Access Key Id,用于标示用户。

• SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥，其中SK必须保密，只能用户（客户端）进行保存。

AK/SK的获取

客户端一般会提供给用户下载AK/SK的功能，然后服务端会保存AK和AK对应的domainID，userID这些信息。

使用原理（签名，验签，非对称加密）
客户端：

1.构建http请求（包含 access key）；

2.使用原始报文进行hash算法计算得到摘要，然后使用SK对摘要进行加密生成签名（signature）；

3.将请求体发送给服务端(请求体 = AK + 原始报文 + 签名)；

服务端：

1.根据客户端发送过来的access key 查找数据库得到对应的Ak和AK对应的用户信息

2.使用上面步骤2相同的hash算法对原始报文进行计算得到摘要1，然后再用AK对签名传过来的签名进行解密（非对称加密知识，公钥加密私钥解密，私钥加密公钥解密/验签）得到一个摘要2，比较摘要1和摘要2相同则认证通过。

优点

• AK/SK是随机生成的，相比账号密码，不存在人为设置弱密码的风险，基本排除被暴力破解的可能性。
• 在通信的过程中，SK是不会暴露在传输通道的，账号密码的方式是会暴露在传输通道中的（即使做了加密）。所以使用AK/SK在某些场景也是可以使用HTTP协议进行传输的（请求体不包含SK，及时不使用加密传输问题也不大）
• 相较于账号密码，AK/SK本身可以用来做权限的划分（待补充）