tdm_server_rust/utils/

cos_presign.rs

//! 腾讯云 COS 预签名 URL 生成
//!
//! 使用 STS 临时密钥签署预签名下载/上传链接（HMAC-SHA1）。
//! 对齐 Java `COSClient.generatePresignedUrl` + `signHost` 行为。
//!
//! ## 签名流程
//!
//! 1. 计算 SignKey: `HMAC-SHA1(secret_key, "{start};{end}")`
//! 2. 构建 HttpString: `{method}\n{path}\n{params}\n{headers}\n`
//! 3. 计算 StringToSign: `sha1\n{key_time}\n{SHA1(http_string)}\n`
//! 4. 计算 Signature: `HMAC-SHA1(sign_key, string_to_sign)`
//!
//! ## 使用场景
//!
//! - 下载场景：生成有时效的 COS 预签名下载链接
//! - 上传场景：前端使用预签名 URL 直接 PUT 到 COS

use hmac::{Hmac, Mac};
use sha1::{Digest, Sha1};
use std::collections::BTreeMap;
use std::time::{SystemTime, UNIX_EPOCH};

type HmacSha1 = Hmac<Sha1>;

/// 生成 COS 预签名 URL（STS 临时密钥 + x-cos-security-token）
///
/// 使用 HMAC-SHA1 签名算法生成 COS 预签名请求 URL，
/// 支持 GET（下载）和 PUT（上传）两种方法。
///
/// # 参数
///
/// - `secret_id`: STS 临时 SecretId
/// - `secret_key`: STS 临时 SecretKey
/// - `bucket`: COS 存储桶名
/// - `region`: COS 区域
/// - `object_key`: 对象 Key
/// - `method`: HTTP 方法（`"get"` 或 `"put"`）
/// - `duration_secs`: 签名有效期（秒）
/// - `session_token`: STS SessionToken（传入 `x-cos-security-token` 参数）
///
/// # 返回值
///
/// 返回完整的预签名 URL（含所有鉴权参数）。
///
/// # Errors
///
/// - `AppError::Oss` — SecretId/SecretKey 为空
/// - `AppError::Internal` — 系统时间异常
///
/// # 签名说明
///
/// 签名 host 包含在签名头中，签名路径使用原始 UTF-8 编码（不 URL 编码），
/// 但请求 URL 中的路径经过 URL 编码以兼容特殊字符。
pub fn presigned_url(
    secret_id: &str,
    secret_key: &str,
    bucket: &str,
    region: &str,
    object_key: &str,
    method: &str,
    duration_secs: u64,
    session_token: &str,
) -> crate::error::ApiResult<String> {
    if secret_id.is_empty() || secret_key.is_empty() {
        return Err(crate::error::AppError::Oss {
            code: None,
            msg: "腾讯云 SecretId/SecretKey 未配置".into(),
        });
    }
    let now = SystemTime::now()
        .duration_since(UNIX_EPOCH)
        .map_err(|e| crate::error::AppError::Internal(e.to_string()))?
        .as_secs();
    let end = now + duration_secs;
    let key_time = format!("{now};{end}");
    let sign_key = hmac_sha1_hex(secret_key.as_bytes(), &key_time);

    let host = format!("{bucket}.cos.{region}.myqcloud.com");
    let uri_path = sign_uri_path(object_key);
    let request_path = encode_object_path(object_key);

    let mut url_params = BTreeMap::new();
    if !session_token.is_empty() {
        url_params.insert("x-cos-security-token".to_string(), session_token.to_string());
    }
    let (format_parameters, signed_param_list) = format_parameters(&url_params);

    let mut headers = BTreeMap::new();
    headers.insert("host".to_string(), host.clone());
    let (format_headers, signed_header_list) = format_headers(&headers);

    let http_string = format!(
        "{}\n{}\n{}\n{}\n",
        method.to_lowercase(),
        uri_path,
        format_parameters,
        format_headers
    );
    let string_to_sign = format!("sha1\n{key_time}\n{}\n", sha1_hex(&http_string));
    let signature = hmac_sha1_hex(sign_key.as_bytes(), &string_to_sign);

    let encoded_path = request_path;
    let auth_query = format!(
        "q-sign-algorithm=sha1&q-ak={secret_id}&q-sign-time={key_time}&q-key-time={key_time}\
         &q-header-list={}&q-url-param-list={}&q-signature={signature}",
        signed_header_list.join(";"),
        signed_param_list.join(";")
    );

    let base = format!("https://{host}{encoded_path}");
    if url_params.is_empty() {
        Ok(format!("{base}?{auth_query}"))
    } else {
        let token_qs = url_params
            .iter()
            .map(|(k, v)| format!("{}={}", safe_url_encode(k), safe_url_encode(v)))
            .collect::<Vec<_>>()
            .join("&");
        Ok(format!("{base}?{token_qs}&{auth_query}"))
    }
}

/// COS 签名字符串用的 URI Path（原始 UTF-8，不 URL 编码）
fn sign_uri_path(object_key: &str) -> String {
    let trimmed = object_key.trim_start_matches('/');
    if trimmed.is_empty() {
        "/".into()
    } else {
        format!("/{trimmed}")
    }
}

/// COS 请求 URL 用的 URI Path（URL 编码各段，保留 `/`）
fn encode_uri_path(object_key: &str) -> String {
    let trimmed = object_key.trim_start_matches('/');
    if trimmed.is_empty() {
        return "/".into();
    }
    format!(
        "/{}",
        trimmed
            .split('/')
            .map(|seg| safe_url_encode(seg))
            .collect::<Vec<_>>()
            .join("/")
    )
}

/// URL 路径编码（调用 [`encode_uri_path`]）
fn encode_object_path(object_key: &str) -> String {
    encode_uri_path(object_key)
}

/// 格式化参数列表（排序，小写 key）
fn format_parameters(params: &BTreeMap<String, String>) -> (String, Vec<String>) {
    let mut signed_list = Vec::new();
    let mut pairs = Vec::new();
    for (k, v) in params {
        let lk = safe_url_encode(&k.to_lowercase());
        signed_list.push(lk.clone());
        pairs.push(format!("{lk}={}", safe_url_encode(v)));
    }
    signed_list.sort();
    (pairs.join("&"), signed_list)
}

/// 格式化头列表（排序，小写 key）
fn format_headers(headers: &BTreeMap<String, String>) -> (String, Vec<String>) {
    let mut signed_list = Vec::new();
    let mut pairs = Vec::new();
    for (k, v) in headers {
        let lk = safe_url_encode(&k.to_lowercase());
        signed_list.push(lk.clone());
        pairs.push(format!("{lk}={}", safe_url_encode(v)));
    }
    signed_list.sort();
    (pairs.join("&"), signed_list)
}

/// 安全 URL 编码（额外编码 `!` `'` `(` `)` `*`）
fn safe_url_encode(s: &str) -> String {
    urlencoding::encode(s)
        .replace('!', "%21")
        .replace('\'', "%27")
        .replace('(', "%28")
        .replace(')', "%29")
        .replace('*', "%2A")
}

/// HMAC-SHA1 计算，返回十六进制字符串
fn hmac_sha1_hex(key: &[u8], data: &str) -> String {
    let mut mac = HmacSha1::new_from_slice(key).expect("hmac key");
    mac.update(data.as_bytes());
    hex::encode(mac.finalize().into_bytes())
}

/// SHA1 计算，返回十六进制字符串
fn sha1_hex(data: &str) -> String {
    let mut hasher = Sha1::new();
    hasher.update(data.as_bytes());
    hex::encode(hasher.finalize())
}