Неверная подпись запроса aws, вызванная плагином opentelemetry https
При использовании
@opentelemetry/plugin-https и
aws-sdk вместе в приложении NodeJS плагин opentelemetry добавляет
traceparentзаголовок к каждому запросу AWS. Это отлично работает, если нет необходимости в повторных попытках в
aws-sdk. Когда aws-sdk повторяет запрос, могут возникнуть следующие ошибки:
InvalidSignatureException: The request signature we calculated does not match the signature you provided. Check your AWS Secret Access Key and signing method. Consult the service documentation for details.SignatureDoesNotMatch: The request signature we calculated does not match the signature you provided. Check your key and signing method.
Первый запрос AWS содержит следующие заголовки:
traceparent: '00-32c9b7adee1da37fad593ee38e9e479b-875169606368a166-01'Authorization: 'AWS4-HMAC-SHA256 Credential=<credential>, SignedHeaders=host;x-amz-content-sha256;x-amz-date;x-amz-security-token;x-amz-target, Signature=<signature>'
Обратите внимание, что
SignedHeaders не включает
traceparent.
Повторный запрос содержит следующие заголовки:
traceparent: '00-c573e391a455a207469ffa4fb75b3cab-6f20c315628cfcc0-01'Authorization: AWS4-HMAC-SHA256 Credential=<credential>, SignedHeaders=host;traceparent;x-amz-content-sha256;x-amz-date;x-amz-security-token;x-amz-target, Signature=<signature>
Обратите внимание, что
SignedHeaders это включает
traceparent.
Перед отправкой запроса на повторную попытку
@opentelemetry/plugin-https устанавливает новые
traceparent заголовок, и это делает подпись запроса AWS недействительной.
Вот код, который воспроизводит проблему (вам может потребоваться запустить скрипт несколько раз, прежде чем достигнуть предела скорости, который вызывает повторные попытки):
const opentelemetry = require("@opentelemetry/api");
const { NodeTracerProvider } = require("@opentelemetry/node");
const { SimpleSpanProcessor } = require("@opentelemetry/tracing");
const { JaegerExporter } = require("@opentelemetry/exporter-jaeger");
const provider = new NodeTracerProvider({
plugins: {
https: {
enabled: true,
path: "@opentelemetry/plugin-https"
}
}
});
const exporter = new JaegerExporter({ serviceName: "test" });
provider.addSpanProcessor(new SimpleSpanProcessor(exporter));
provider.register();
const AWS = require("aws-sdk");
const main = async () => {
const cwl = new AWS.CloudWatchLogs({ region: "us-east-1" });
const promises = new Array(100).fill(true).map(() => new Promise((resolve, reject) => {
cwl.describeLogGroups(function (err, data) {
if (err) {
console.log(err.name);
console.log("Got error:", err.message);
console.log("ERROR Request Authorization:");
console.log(this.request.httpRequest.headers.Authorization);
console.log("ERROR Request traceparent:");
console.log(this.request.httpRequest.headers.traceparent);
console.log("Retry count:", this.retryCount);
reject(err);
return;
}
resolve(data);
});
}));
const result = await Promise.all(promises);
console.log(result.length);
};
main().catch(console.error);
Возможные решения:
- Игнорировать все вызовы aws в
@opentelemetry/plugin-https.- Игнорирование вызовов aws приведет к потере всех интервалов для запросов aws.
- Добавить
traceparentзаголовок вunsignableHeadersвaws-sdk-AWS.Signers.V4.prototype.unsignableHeaders.push("traceparent");- Изменение прототипа похоже на взлом и также не обрабатывает случай, если другой модуль узла использует другую версию
aws-sdk.
- Изменение прототипа похоже на взлом и также не обрабатывает случай, если другой модуль узла использует другую версию
Есть ли другое решение, которое могло бы позволить мне сохранить интервалы для запросов aws и гарантировать, что подпись всех запросов aws будет правильной?
1 ответ
кто-то также подготовил для него пакет NPM