对服务器进行身份验证¶

本主题介绍在使用 Snowflake SQL API 时如何对服务器进行身份验证。

发送请求时，请求必须包含身份验证信息。以下各部分说明如何将此信息添加到请求中：

使用 OAuth
使用密钥对身份验证

使用 OAuth¶

若要使用 OAuth，请按照下列步骤操作：

设置 OAuth 进行身份验证。

有关如何设置 OAuth 和获取 OAuth 令牌的详细信息，请参阅 OAuth 简介。

使用 SnowSQL 验证可以使用生成的 OAuth 令牌连接到 Snowflake：

对于 Linux 和 MacOS 系统

$ snow connection test --account <account_identifier> --user <user> --authenticator=oauth --token=<oauth_token>

对于 Windows 系统

$ snow connection test --account <account_identifier> --user <user> --authenticator=oauth --token=<oauth_token>

在发送的每个 API 请求中，设置以下标头：
- Authorization: Bearer oauth_token
  
  其中 oauth_token 是生成的 OAuth 令牌。
- （可选）:code:X-Snowflake-Authorization-Token-Type: OAUTH
  
  如果您省略了 X-Snowflake-Authorization-Token-Type 标头，Snowflake 将通过检查令牌来确定令牌类型。
  
  即使此标头可选，您也可以选择指定此标头。您可以将标头设置为以下值之一：
  - ``KEYPAIR_JWT``（适用于密钥对身份验证）
  - ``OAUTH``（适用于 OAuth）
  - ``PROGRAMMATIC_ACCESS_TOKEN``（适用于编程访问令牌）

使用密钥对身份验证¶

若要使用密钥对身份验证，请按照下列步骤操作：

设置密钥对身份验证。

在此过程中，您必须执行以下操作：
1. 生成公钥-私钥对。生成的私钥应位于文件中（例如，名为 rsa_key.p8）。
2. 将公钥分配给 Snowflake 用户。将密钥分配给用户后，运行 DESCRIBE USER 命令。在输出中，RSA_PUBLIC_KEY_FP 属性应设置为分配给用户的公钥的指纹。
有关如何生成密钥对并将密钥分配给用户的说明，请参阅密钥对身份验证和密钥对轮换。有关创建指纹和生成 JWT 令牌的语言特定示例，请参阅以下内容：
- Python
- Java
- Node.js
使用 SnowSQL 验证可以使用生成的私钥连接到 Snowflake：
```
$ snow connection generate-jwt --account <account_identifier> --user <user> --private-key-path <path>/rsa_key.p8
```
该命令提示您输入私钥加密短语以完成连接。您可以通过在 PRIVATE_KEY_PASSPHRASE 环境变量中提供密码来避免提示。

在应用程序代码中，执行以下操作：

为用户生成公钥的指纹（SHA-256 哈希值）。在指纹前加上 SHA256:。例如：

SHA256:hash

还可以执行 SQL DESCRIBE USER 命令从 RSA_PUBLIC_KEY_FP 属性中获取值。

生成一个 JSON Web 令牌 (JWT) (link removed)，其有效负载中包含以下字段：


字段	描述	示例
`iss`	JWT 的发放者。将其设置为以下值： `account_identifier.user.SHA256:public_key_fingerprint` 其中： `account_identifier` 是 Snowflake 账户标识符。如果使用的是账户定位器，请从账户定位器中排除任何区域信息。 `user` 是 Snowflake 用户名。 `SHA256:public_key_fingerprint` 是在上一步中生成的指纹。备注 `account_identifier` 和 `user` 值必须全部使用大写字符。如果您的账户 ID 包含句点 (`.`)，必须用连字符 (`-`) 将其替换，因为账户标识符中的句点会导致 JWT 无效。	`MYORGANIZATION-MYACCOUNT.MYUSER.SHA256:public_key_fingerprint`
`sub`	JWT 的主题。将其设置为以下值： `account_identifier.user`	`MYORGANIZATION-MYACCOUNT.MYUSER`
`iat`	JWT 的发放时间（以 UTC 表示）。将该值设置为当前时间值，以秒或毫秒为单位。	``1615370644``（秒）:newline:`.` ``1615370644000``（毫秒）
`exp`	JWT 的过期时间（以 UTC 表示）。可以将该值指定为秒或毫秒。备注即使指定了更长的过期时间，JWT 在令牌颁发后最多一个小时内有效。	``1615374184``（秒）:newline:`.` ``1615374184000``（毫秒）

在发送的每个 API 请求中，设置以下标头：
- Authorization: Bearer JWT
  
  其中 JWT 是生成的令牌。
- （可选）:code:X-Snowflake-Authorization-Token-Type: KEYPAIR_JWT
  
  如果您省略了 X-Snowflake-Authorization-Token-Type 标头，Snowflake 将通过检查令牌来确定令牌类型。
  
  即使此标头可选，您也可以选择指定此标头。您可以将标头设置为以下值之一：
  - ``KEYPAIR_JWT``（适用于密钥对身份验证）
  - ``OAUTH``（适用于 OAuth）
  - ``PROGRAMMATIC_ACCESS_TOKEN``（适用于编程访问令牌）

Python 示例¶

以下部分介绍如何使用 Python 生成 JWT 和指纹。

有关在 Python 中生成 JWT 的示例，请参阅 sql-api-generate-jwt.py。sql-api-generate-jwt.py 示例使用 ` PyJWT 模块 <https://pypi.org/project/PyJWT/ (https://pypi.org/project/PyJWT/)> `_，可以通过运行以下命令安装该模块：

pip install pyjwt

在 Python 中生成 JWT¶

以下代码部分演示了如何生成 JWT。有关完整示例，请参阅 sql-api-generate-jwt.py。

备注

此示例仅供参考。请勿在生产应用程序或环境中使用此代码。

from datetime import timedelta, timezone, datetime

# This example relies on the PyJWT module (https://pypi.org/project/PyJWT/).
import jwt

# Construct the fully qualified name of the user in uppercase.
# - Replace <account_identifier> with your account identifier.
#   (See https://docs.snowflake.com/en/user-guide/admin-account-identifier.html .)
# - Replace <user_name> with your Snowflake user name.
account = "<account_identifier>"

# Get the account identifier without the region, cloud provider, or subdomain.
if not '.global' in account:
    idx = account.find('.')
    if idx > 0:
        account = account[0:idx]
    else:
        # Handle the replication case.
        idx = account.find('-')
        if idx > 0:
            account = account[0:idx]

# Use uppercase for the account identifier and user name.
account = account.upper()
user = "<user_name>".upper()
qualified_username = account + "." + user

# Get the current time in order to specify the time when the JWT was issued and the expiration time of the JWT.
now = datetime.now(timezone.utc)

# Specify the length of time during which the JWT will be valid. You can specify at most 1 hour.
lifetime = timedelta(minutes=59)

# Create the payload for the token.
payload = {

    # Set the issuer to the fully qualified username concatenated with the public key fingerprint (calculated in the  previous step).
    "iss": qualified_username + '.' + public_key_fp,

    # Set the subject to the fully qualified username.
    "sub": qualified_username,

    # Set the issue time to now.
    "iat": now,

    # Set the expiration time, based on the lifetime specified for this object.
    "exp": now + lifetime
}

# Generate the JWT. private_key is the private key that you read from the private key file in the previous step when you generated the public key fingerprint.
encoding_algorithm="RS256"
token = jwt.encode(payload, key=private_key, algorithms=encoding_algorithm)

# If you are using a version of PyJWT prior to 2.0, jwt.encode returns a byte string, rather than a string.
# If the token is a byte string, convert it to a string.
if isinstance(token, bytes):
  token = token.decode('utf-8')
print(token)
decoded_token = jwt.decode(token, key=private_key.public_key(), algorithms=[encoding_algorithm])
print("Generated a JWT with the following payload:\n{}".format(decoded_token))

在 Python 中生成指纹¶

以下代码部分演示了如何生成指纹。有关完整示例，请参阅 sql-api-generate-jwt.py。

from cryptography.hazmat.primitives.serialization import load_pem_private_key
from cryptography.hazmat.primitives.serialization import Encoding
from cryptography.hazmat.primitives.serialization import PublicFormat
from cryptography.hazmat.backends import default_backend
..
import base64
from getpass import getpass
import hashlib
..
# If you generated an encrypted private key, implement this method to return
# the passphrase for decrypting your private key. As an example, this function
# prompts the user for the passphrase.
def get_private_key_passphrase():
    return getpass('Passphrase for private key: ')

# Private key that you will load from the private key file.
private_key = None

# Open the private key file.
# Replace <private_key_file_path> with the path to your private key file (e.g. /x/y/z/rsa_key.p8).
with open('<private_key_file_path>', 'rb') as pem_in:
    pemlines = pem_in.read()
    try:
        # Try to access the private key without a passphrase.
        private_key = load_pem_private_key(pemlines, None, default_backend())
    except TypeError:
        # If that fails, provide the passphrase returned from get_private_key_passphrase().
        private_key = load_pem_private_key(pemlines, get_private_key_passphrase().encode(), default_backend())

# Get the raw bytes of the public key.
public_key_raw = private_key.public_key().public_bytes(Encoding.DER, PublicFormat.SubjectPublicKeyInfo)

# Get the sha256 hash of the raw bytes.
sha256hash = hashlib.sha256()
sha256hash.update(public_key_raw)

# Base64-encode the value and prepend the prefix 'SHA256:'.
public_key_fp = 'SHA256:' + base64.b64encode(sha256hash.digest()).decode('utf-8')

示例¶

You can use the Snowflake CLI snow connection generate-jwt command to generate a JWT for key-pair authentication. For more information, see snow connection generate-jwt.

此示例会使用来自 rsa_key.p8 的私钥为账户 TEST 和用户 JDOE 生成令牌：

snow connection generate-jwt --user JDOE --account TEST --private-key-file=rsa_key.p8

该命令提示您输入私钥加密短语以完成连接。您可以通过在 PRIVATE_KEY_PASSPHRASE 环境变量中提供密码来避免提示。

Java 示例¶

有关在 Java 中生成 JWT 的示例，请参阅 SimpleStatementsApi.java。

备注

此示例仅供参考。请勿在生产应用程序或环境中使用此代码。

此示例使用以下第三方库：

` Swagger Codegen <https://swagger.io/tools/swagger-codegen/download/ (https://swagger.io/tools/swagger-codegen/download/)>`_ ：一个开源库，可用于开发 REST APIs 和应用程序。
` Auth0 <https://auth0.com/docs/libraries (https://auth0.com/docs/libraries)>`_ ：提供用于身份验证和生成 JWT 令牌的 Java APIs。

Node.js 示例¶

有关在 Node.js 中生成 JWT 的示例，请参阅 sql-api-generate-jwt.js。

备注

此示例仅供参考。请勿在生产应用程序或环境中使用此代码。