Direct interaction between JavaScript S3 SDK and RGW: SignatureDoesNotMatch Error
Jeder Request wird nach einem festen Schema signiert. Dabei können beliebige Header und ihre Werte mit in die Signatur einfließen. Das Problem tritt auf, wenn das JS S3 SDK im Browser den host Header mit in die Signatur mit einfließen lässt. Sobald der Request beim Reverse Proxy landet, wird der host Header von ihm verändert und der original host Header in den x-forwarded-host Header geschrieben (zumindest bei Traefik, welches ich benutze). Nun versucht aber das RGW mit dem veränderten host Header die Signatur zu berechnen, welche aber natürlich nicht mehr übereinstimmt. Somit wird jede Anfrage mit dem Error 403 Forbidden SignatureDoesNotMatch abgelehnt.
Das Backend kann damit umgehen, da in die Signatur jedes Requests der host Header NICHT mit einfließt.
Ich bin mir nicht zu 100% sicher, dass das die Ursache für die SignatureDoesNotMatch Fehlermeldungen sind, aber das ist meine bisher beste Vermutung nach über 2h debugging und Recherche. Leider kann man im JS SDK nicht einstellen, welche Header man für die Signatur benutzt (zumindest habe ich die Option nicht gefunden), jedoch könnte man die Signatur selber erstellen. Das würde ich jedoch nur sehr ungern machen.
Activity
added support label
assigned to @daniel.goebel
By Daniel Göbel on 2022-08-01T17:59:32 (imported from GitLab)
https://github.com/aws/aws-sdk-js-v3/issues/1930
Der
hostHeader, welcher gesendet wird, enthält den Port, z.B.Host: localhost:9998Wenn dieser Header aber zum signieren verwendet wird, dann wird der Port entfernt, sodass nur noch
localhostin die Berechnung der Signatur einfließt. Anscheinend macht nur das JS AWS SDK das so und das Python SDK und RGW nehmen den Port mit in die BerechnungWenn ich den
HostHeader in der Middleware überschreibe, um den Port zu enthalten, funktionert der Requestclient.middlewareStack.addRelativeTo( (next) => async (args) => { args.request.headers["host"] = "localhost:9998"; return await next(args); }, { relation: "before", // or "after". toMiddleware: awsAuthMiddlewareOptions.name, } );By Daniel Göbel on 2022-08-23T14:25:11 (imported from GitLab)
changed milestone to %Version 1.0.0