2009年5月 9日

5月11日からスタートする Amazon Product Advertising API （旧称 Amazon Web Services ／ アマゾン アソシエイト Web サービス）は、移行期間3ヶ月の後、8月15日から認証のための電子署名付きリクエストが必須となる。アマゾンアフィリエイトWebサービスを使っている人は、認証付きリクエストを発行できるように、プログラムを改修する必要がある。ここでは、PHPを使って、電子署名付きリクエストを作成・送信する方法について解説する。

（5/11 13:00 完全版をアップしました）
（5/11 22:30 ver 0.2 をアップしました。Timestampに関するバグを修正しました。必ずアップデートしてください。）
（5/12 23:00 ver 0.3 をアップしました。複数リクエスト（バッチリクエスト）の場合に、ピリオドがアンダースコアに置換される問題を修正しました。）
（5/16 ver 0.4 をアップしました。連想配列の指定でエラーが出る問題を修正しました。）

0. 手っ取り早く対応したい人向け

0.1 準備

↓の「2. 準備」を参考に、「Secret Access Key」を取得して、「PECL hash」のインストールを確認してください。

0.2 ダウンロード

http://amazon.ringoon.jp/rest_test/pa_sig.txt をダウンロードして、拡張子をphpに変えてください。ライセンスは クリエイティブ・コモンズ 表示 2.1 日本 です。改変・再配布・商用利用が可能です。

0.3 プログラムの改良

0.3.1 Secret Access Keyの変更
pa_sig.phpの "Your Secret Access Key" のところを、自分の「Secret Access Key」に変更してください。

0.3.2 従来のプログラムの改修
http://amazon.ringoon.jp/rest_test/pa_sig_test.txt を参考に、従来のプログラムを改修してください。

• includeする
• リクエストURLに add_signature($url) で署名を付加する

という2点だけです。

1. 全体的な流れ

◆Basic Authentication Process
（電子署名付きリクエストの作成手順）

◆Example REST Requests
（電子署名付きリクエストの例）

流れとしては、

1. （従来の）リクエストを、整形する。
   • パラメータとしてTimestampが追加された（必須。Timestampから時間が経っているとexpireされる）
   • パラメータをソートする。大文字のアルファベット順→小文字のアルファベット順の順番
   • パラメータをURLエンコードする（RFC 3986）。カンマ、コロン、セミコロンを変換する。PHPなら rawurlencode() などで。
2. 整形したリクエストを元に、署名原文を作る。
3. 「Your Secret Access Key」を使って、SHA-256なHMAC（RFC 2104）で署名を得る。
4. 従来のリクエストの最後に、パラメータ「Signature」として署名を追加して、リクエストを送る。

2. 準備

2.1 Secret Access Key の取得

電子署名の暗号化の鍵として、Amazon が発行する「Your Secret Access Key」を使う。「Your Secret Access Key」は、Amazon Web Servicesのホームページ（http://aws.amazon.com/）にアクセス・ログインし、「Your Account」から「Access Identifiers」を見ると書かれている。

2.2 PECL hash がインストールされているか確認

Amazon Product Advertising API では、SHA-256をハッシュ関数としたHMACを電子署名として採用している。PHPで、HMACを生成するには、 hash_hmac を使うのが簡単で良いが、サーバに PECL hash という追加モジュールがインストールされていなければならない。

以下のようなサンプルプログラムをサーバで実行してみると、確認できる。

<?php
print( hash_hmac("sha256", "hogehoge", "1234567890") );
?>

もしくは、Amazonのサンプルに沿ったテストコードを、http://amazon.ringoon.jp/rest_test/test.txtに置いたので、ダウンロードし、拡張子をphpに変えて自分のサーバにアップロードしても良い。実行結果は、http://amazon.ringoon.jp/rest_test/test.phpのようになる。なお、RinGoon POP!!はさくらインターネットのレンタルサーバを利用しているが、PECL hashがインストールされていて、何の設定もなく利用できる。

3. プログラム改修のポイント

• リクエストURLを parse_url() で分解する
• クエリ部分を parse_str() で分解する
  • このとき、クエリパラメータ中のピリオドがアンダースコアに変換される。複数リクエストを使っている場合は、署名原文を作るときに、変換を戻す必要がある。
• クエリを分解した配列に、TimestampとしてGMTのタイムスタンプを加える。書式が違うとすげー勢いで怒られるので注意。
  gmdate("Y-m-d")."T".gmdate("H:i:s")."Z"
• クエリを分解した配列を ksort() で昇順ソート
• クエリのデータの方を、 rawurlencode でRFC 3986にエンコード。
• クエリデータをくっつけて、署名原文を作る。 → 署名原文の作り方
• base64_encode( hash_hmac("sha256", $str, $secret_key, "TRUE")
• 最後に、元のURLに、署名原文として作ったURLに、
  &Signature=hogehoge
  として付加する

4. 注意点

• webservices.amazon.co.jp は、自分の名前を xml-jp.amznxslt.com だと思っているようだ（？）。webservices.amazon.co.jp のままだと署名が違うと怒られる。DNSだと xml-jp.amznxslt.com の方が別名っぽいのに。すぐに対応されると思うが・・・
  webservices.amazon.co.jp に対して、XSLTスタイルシートを適用させる電子署名リクエストを送ると、SignatureDoesNotMatchエラーが返ってくる。XSLTを使うには xml-jp.amznxslt.com にリクエストを送ること。
• Timestampは必須。
• 現在時刻(GMT)から、ある程度離れた時刻をTimestampで送ると怒られる。URLそのものをキャッシュするような実装の場合は注意が必要。
• XSLTを使っていても、電子署名付きのリクエストを受け付けている。

5. 動作サンプル

9. おまけ

「アパレル」とか「ジュエリー」とか、ItemSearch の SearchIndex がやたらと増えているので、この機会に追加しておくのも良いかもしれない。

◆SearchIndex-ItemSearch Parameter Combinations for JP
（日本のアマゾンのSearchIndex 一覧）