个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在配置具有各种前端(移动和 Web 应用程序)和单个 API 后端的应用程序,由 Lambda 提供支持并通过 AWS API Gateway 访问。
由于我计划使用 Cognito 对用户进行身份验证和授权,因此我在我的 API 网关和几个 API 方法上设置了一个 Cognito 用户池授权器。
对于这样的架构,从 OAuth 的角度来看,我的应用程序(例如 iOS 或 Vue.js 应用程序)是客户端应用程序,而我的 API 网关后端是资源服务器,这似乎是合乎逻辑的。基于 this Auth0 forum post因此,很明显我应该在我的客户端应用程序中使用 ID token ,并传递一个访问 token 来授权我的 API 网关资源。
当我点击 Cognito /oauth2/authorize端点获取访问代码并使用该代码点击 /oauth2/token端点,我得到 3 个 token - 一个访问 token 、一个 ID token 和一个刷新 token 。到目前为止一切顺利,因为我应该拥有我需要的东西。
这是我遇到困难的地方 - 使用 API Gateway Cognito User Pool Authorizer 控制台上的测试功能,我可以粘贴 ID token 并通过(在屏幕上解码 token )。但是当我粘贴访问 token 时,我得到 401 - unauthorized .
在我的 Cognito 设置中,我启用了 Authorization Code Grant仅限流量,使用 email和 openid范围(这似乎是 Cognito 允许的最小值,因为我在尝试保存时出错,但至少没有勾选这些)。
我是否需要添加一些特定范围才能让 API Gateway 使用访问代码授权请求?如果是这样,这些是在哪里配置的?
或者我错过了什么? API Gateway 是否仅允许将 ID token 与 Cognito 用户池授权方一起使用?
最佳答案
您可以使用具有适用于 id token 的相同授权方的访问 token ,但在用户池和 APIG 中需要完成一些额外的设置。
即使完成此额外设置,您也无法将内置授权方测试功能与访问 token 一起使用,而只能使用 id token 。来自 AWS 的典型 80% 解决方案!
要使用访问 token ,您需要在 App Integration -> Resource Servers 下的用户池中设置资源服务器。您使用什么并不重要,但我假设您使用 <site>.com对于标识符,您有一个名为 api 的范围.
没有转到APIG中的方法并输入Method Request为方法。假设这已经通过使用 id token 测试的授权方进行设置,然后添加 <site>.com/api到 Settings -> OAuth Scopes部分。
只需添加 OAuth 范围,它将确保 token 现在必须是访问 token 并且不再接受 id token 。
这里有详细说明:https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enable-cognito-user-pool.html
关于oauth - AWS API Gateway - 将访问 token 与 Cognito 用户池授权方一起使用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50404761/
25
4
0
Spring Cloud Greenwich puts spring-cloud-netflix-zuul处于维护模式,所以我正在尝试从 Zuul 迁移到 Spring Cloud Gateway。
有没有办法对 AWS API Gateway 服务使用基本身份验证而不是 AWS4-HMAC-SHA256 身份验证?我需要支持仅支持使用基本身份验证的 webhook 调用的系统。 最佳答案 您只需
Rails API 通常喜欢这样的数组查询参数: example.com?colors[]=cyan&colors[]=magenta&colors[]=yellow&colors[]=black 我
Here蓝图中说,API 网关将响应 401: Unauthorized。 我写了同样的raise Exception('Unauthorized')在我的 lambda 中,并且能够从 Lambda
在 documentation我确实看到了如何使用 Hystrix 实现超时,但我只想确保没有实现默认超时。 最佳答案 现在还有一个 chapter关于文档中的一般超时。可以设置全局超时和每条路由超时
我的资源/api 有一个方法 POST,它将主体代理到 Kinesis Firehose(然后代理到 ES)。同时我希望它触发一个 Lambda 函数。 我尝试添加一个额外的方法 ANY 来触发 La
Spring Cloud Gateway 真的很新 - 但它“似乎”很容易。我真的很苦恼的一个问题。我的要求是为路径添加前缀,检查头变量,根据该变量查找 URI,然后继续前进。 问题是 uri 总是下
我已经使用 Websocket 协议(protocol)创建了一个 API 网关。部署 API 后,我得到一个 WebSocket URL 和一个连接 URL。 例如 WebSocket URL:ws
我正在使用 AWS API Gateway 和 AWS Lambda 创建一个无服务器的 REST API。虽然已创建端点并与相应的 Lambda 函数链接,但下一步是添加身份验证层以通过电子邮件和密
我们开发了一个应用程序,它提供多种休息服务,并支持 Accept-Encoding header ,以通过 Content-Encoding:gzip header 值返回压缩内容。 此应用程序部署在
我正在开发 CloudFormation 模板来部署 API Gateway 资源,但在部署 (AWS::ApiGateway::Deployment) 和UsagePlan 资源方面遇到问题。这有点
我目前正在使用 AWS API Gateway 开发 API。我正在向我的客户发布一个 JSON Web token (JWT)。该 JWT 使用 secret 进行签名。我目前将 secret 存储
我下载了 .NET SDK对于 Payflow Gateway 并遵循 these instructions关于设置我的 Payflow Gateway 测试帐户,然后修改两行 DOSecureTok
我目前正在将 Amazon CloudSearch 与前端应用程序集成。由于已知的 CORS 问题,我也被迫使用 API 网关。 出现的问题是,前端 CloudSearch 库发送带有编码参数的 ur
我正在创建一个 LambdaRestApi在 CDK 中,我想同时启用 CORS 并使用 addProxy 方法添加任何代理。 我目前有以下 CDK 代码: const api = new Lam
我们可以使用 AWS API Gateway 使用双向 SSL 功能吗?我们希望在我们的实时流应用程序中使用 API Gateway 作为 kinesis 的代理。 下面是我的要求 客户端向 apig
我正在构建一个无服务器 react 应用程序,它使用 Cognito 进行登录/注销。该应用程序调用 API 网关,该网关配置为使用 Cognito 用户池作为自定义授权方。 我还构建了一个 lamb
我已经浏览了 Google Cloud API Gateway docs并搜索 the public issue tracker但一直无法以某种方式提及它。 我最接近的是this google gro
我正在尝试将使用 spring-cloud-starter-netflix-zuul 的网关迁移到 Spring Cloud Gateway,但我遇到了请求路由问题。 我浏览了以下有关为 Discov
我正在尝试设置我的 API 网关,以便它具有以下简单的方法响应: 我正在使用 CloudFormation,但总是遇到错误。我相信这很简单,但在花了几个小时阅读文档后我陷入了困境。这是我的方法资源(在
我是一名优秀的程序员,十分优秀!