javascript - API 网关返回 403

javascript - API 网关返回 403 - 禁止访问

转载作者：搜寻专家更新时间：2023-10-31 23:44:20

33

4

我有一个 API 网关，其端点由 AWS Lambda 代理集成实现。我还为此端点配置了自定义授权方。我看到一个问题，即我对该端点发出的第一个请求成功，但其他调用将失败；我收到 403 - 禁止错误。如果我稍等片刻，我可以发出另一个成功的请求，但随后我开始遇到同样的问题。

这是我的授权人代码:

const jwt = require('jsonwebtoken');

exports.authorizer = async function (event, context) {
  const bearerToken = event.authorizationToken.slice(7);
  const { payload } = jwt.decode(bearerToken);
  return {
    principalId: payload.sub,
    policyDocument: {
      Version: '2012-10-17',
      Statement: [{
        Action: 'execute-api:Invoke',
        Effect: 'Allow',
        Resource: event.methodArn,
      }],
    },
  };
};

在此端点的 API 网关日志中，我可以看到授权方正在返回 Allow，但我仍然可以看到授权失败:

(50ac5f87-e152-4933-a797-63d84a528f61) The client is not authorized to perform this operation.

有谁知道这是怎么发生的或者为什么会发生？

最佳答案

我认为问题出在您的授权方发回的响应中。在您的政策文件中，您可以看到您正在返回 Resource: event.methodArn。

这通常会起作用，前提是您的授权方未缓存来自自定义授权方的响应(默认情况下处于启用状态)。当您向 API 网关发出请求并取回与当前请求的请求 ARN 不匹配的缓存授权方响应时，就会出现您遇到的问题。 This post explains more about how Lambda authorizers work, including caching .

您可以通过进入 AWS 控制台并为您的自定义授权方禁用缓存来验证这是否是问题所在；执行此操作后，您应该不会再遇到此问题。

那么如何解决这个长期问题呢？有几个选项:

禁用缓存:这是最简单的解决方案。不利之处在于，您现在会针对每个请求调用您的授权方，这会给您的 API 带来更多延迟。

返回更广泛的策略:这是最好的解决方案，但更复杂。这里有几个选项，您可以在授权方响应中返回多个 Allow 策略，这些策略适用于使用此授权方的任何端点。

如果您查看 format of an authorizer request，您会发现 methodArn 采用以下格式:

{
    "type":"TOKEN",
    "authorizationToken":"{caller-supplied-token}",
    "methodArn":"arn:aws:execute-api:{regionId}:{accountId}:{appId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]]"
}

所以您可能会为 methodArn 返回类似这样的内容:

arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/e56bde3c-7c77-46c6-bdf0-ab4a8cb5f5ca

适用于此端点的任何资源的更广泛的政策是:

arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/*

如果您有多个端点使用同一个授权方，那么您可以返回多个策略:

{
  "principalId": "user",
  "policyDocument": {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": "execute-api:Invoke",
        "Effect": "Allow",
        "Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/*"
      },
      {
        "Action": "execute-api:Invoke",
        "Effect": "Allow",
        "Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/POST/my-resource"
      }
    ]
  }
}

关于javascript - API 网关返回 403 - 禁止访问，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/55968925/

33

4

0

文章推荐： php - 在 PHP 中对 HTML 进行可靠的单元测试

文章推荐： ios - 扩展不会 swift 进入派生类

javascript - 发布 npm 时，获取 npmpublish npm ERR! 403 禁止 PUT https://registryname/- 禁止
我正在尝试使用 npmpublish 命令发布包。但我每次都会收到此错误。 npm ERR! code E403 npm ERR! 403 Forbidden - PUT https://regist
本地主机 WAMP 禁止
我在 WAMP 上访问我的本地主机(最后是 phpmyadmin)时遇到问题。当我输入 localhost或 http://127.0.0.1进入我的浏览器，我收到以下消息: Forbidden Y
javascript - 403(禁止)
我正在尝试发送 $ajax，并且我已经得到了它，但是我必须使用我的表单发送文件，无论是否相同，都没关系。尚未找到 csrf token ，并且出现错误。我的 JavaScript $(doc
javascript - 无法通过请求模块抓取数据 - 禁止
我有一个奇怪的问题，我试图使用请求模块废弃某些页面，但这样做时我收到 403 访问被拒绝。但我完全能够使用 Node 的curl 模块来完成此操作。但互联网上的人们认为，它比请求模块更需要性能，因为我
javascript - 禁止/踢出命令在使用时崩溃
所以，我正在制作一个公共(public)的不和谐机器人，但我的脚本的一部分有问题。我的 kick/ban 命令是用来完成的 $ban @user 它必须在 ping 中完成。由于这是公开的，我真的很想
ssl - 浏览器在代理后面被阻止(禁止)
我在负载均衡器后面有 2 个服务器。此 LB 上配置了 SSL。将近 50 个不同的客户端能够成功连接到我的网站，除了 1 个客户端从浏览器收到禁止 (403) 消息。经过一番调查，我发现他在代理服
pytorch 禁止/允许计算局部梯度的操作
1、禁止计算局部梯度 torch.autogard.no_grad: 禁用梯度计算的上下文管理器。当确定不会调用Tensor.backward()计算梯度时，设置禁止计算梯度会减少内存消耗。
perl - 禁止 Moose 类中的非属性参数
如果 Moose 的构造函数调用中有额外的参数不是属性，有没有办法死？例如，这个: package Shoe; use Moose; has 'size' => (is => 'ro', isa =
nginx - 让我们加密未经授权的 403 禁止
在服务器上，安装了 Nginx。 Let's Encrypt 在 www.domain.com 上运行良好，但不适用于 static.domain.com 使用 PuTTY，当我输入时:sudo le
emacs - 禁止 emacs 自动填充选定区域
我使用 emacs 来编辑所有内容。在我的一些 LateX 文档中，我想在编辑表格和代码时自动禁用自动填充模式。基本上，我想要两个标签，例如: %%% BEGIN NO FILL %%%
Azure 存储模拟器 403 禁止
通过 Nuget，我将 WindowsAzure.Storage 升级到 8.1.1。然后，我下载了 AzureStorageEmulator 5.1.0.0 客户端。我的连接字符串: UseDe
Qt:信号的返回值有效，为什么官方文档说不可能/禁止？
Qt documentation说，信号的返回值是不可能的: Signals are automatically generated by the moc and must not be implem
prompt - 禁止 GPG 命令中的密码提示
编辑版本我有一个关于 GPG 的问题，但我写了所有的过程，也许它会对某人有所帮助。我想:禁止 GPG 命令中的密码提示。我不想:使用 -c 选项(--对称)。我有 2 个系统 Linux 和
pharo - 禁止 token 解析多余的空格
现在的想法是这样的:在 Java 中为 octalIntegerLiteral我有一个规则 octalNumeral, (integerTypeSuffix optional) 但我想得到一个数字作为
pydev - 禁止 PyDev 中的警告
我在 Python 项目中所有模块的开头使用以下内容: import setup_loggers setup_loggers是一个可以做到这一点的模块。 import语句确保无论首先加载哪个模块，记录
php - 禁止 XAMPP 访问
我刚刚下载了最新版本的 XAMPP，PHP 版本为 7.2.4。我为 HTML 表单做了一个非常简单的 PHP 验证，当我按下提交时，它会出现以下内容: Access forbidden!You do
apache2 - Vagrant 403 禁止
我已经成功运行 Vagrant 大约一个星期了。昨晚我运行了 vagrant reload，现在我无法再访问我的网站。 VirtualBox 版本 4.2.16 Vagrant 版本 1.2.7 我的
javascript - 获取音频标签的 403(禁止)
我使用以下 JavaScript 代码在完成 ajax 后播放音频: $(document).ready(function () { $.ajaxSetup(
javascript - 最终用户控制台上的 403(禁止)
我有一个似乎可以在互联网上运行的应用程序。但我接到了一位最终用户的电话，他在使用website时遇到困难。我要求她发送控制台错误的屏幕截图并收到以下信息: 从 stackoverflow 搜索来看，
svn:MKACTIVITY 403 禁止
我在尝试提交到 svn 存储库时遇到此错误: svn: MKACTIVITY of '/svn/Demo/!svn/act/e2e65cfa-...4165f': 403 Forbidden (htt

首页

博学

6Ren·AI

商城

javascript - API 网关返回 403 - 禁止访问