自定义授权方的 AWS API 网关 403 错误
[英]AWS API gateway 403 error for Custom Authorizer
原文
2020-07-27 06:33:23
8
2
amazon-web-services/
aws-lambda/
aws-api-gateway/
lambda-authorizer/
claudiajs
问题描述
我正在使用 Claudia-api-builder 来创建和部署。 https://github.com/claudiajs/example-projects/tree/master/custom-authorizers
我的 AWS 自定义授权方如下所示:
let jwtDecode = require('jwt-decode');
var generatePolicy = function (authToken, methodArn) {
'use strict';
var tmp = methodArn.split(':'),
apiGatewayArnTmp = tmp[5].split('/'),
awsAccountId = tmp[4],
region = tmp[3],
restApiId = apiGatewayArnTmp[0],
stage = apiGatewayArnTmp[1];
let group = jwtDecode(authToken)["cognito:groups"];
if (group[0] === 'Admin') {
return {
'principalId': authToken.split('-')[0],
'policyDocument': {
'Version': '2012-10-17',
'Statement': [{
'Effect': 'Allow',
'Action': [
'execute-api:Invoke'
],
'Resource': [
'arn:aws:execute-api:' + region + ':' + awsAccountId + ':' + restApiId + '/' + stage + '/GET/citizens',
'arn:aws:execute-api:' + region + ':' + awsAccountId + ':' + restApiId + '/' + stage + '/GET/citizens/{citizenId}/personal-details'
]
}]
}
};
}
exports.auth = function testAuth(event, context, callback) {
'use strict';
console.log('got event', event);
/*
* {
* "type":"TOKEN",
* "authorizationToken":"<Incoming bearer token>",
* "methodArn":"arn:aws:execute-api:<Region id>:<Account id>:<API id>/<Stage>/<Method>/<Resource path>"
* }
*/
if (event && event.authorizationToken && event.methodArn) {
callback(null, generatePolicy(event.authorizationToken, event.methodArn));
} else {
callback('Unauthorized');
}
};
资源中的第一个 API 工作正常,但是当我调用第二个 API 时,我:
'arn:aws:execute-api:' + region + ':' + awsAccountId + ':' + restApiId + '/' + stage + '/GET/citizens/{citizenId}/personal-details'
它给我 403 Forbidden :
{
"Message": "User is not authorized to access this resource"
}
在我的例子中,授权缓存也被禁用
这个问题有什么解决办法吗?
2 个解决方案
解决方案1
2 已采纳 2020-07-27 07:03:24
该资源不应是 API 网关方法的路径。
实际上它应该是资源的Arn。 您可以通过执行以下操作从 AWS 控制台获取此信息:
- 打开API网关
- Select 您的 API 网关
- 单击
Resources选项 - 找到您的资源(这将是
citizens/{citizenId}/personal-details下的GET方法)。 点击它。 - 将为您提供一个
Arn。
当使用基于路径的参数时,任何参数都被*替换,所以这将变为下面。
'arn:aws:execute-api:' + region + ':' + awsAccountId + ':' + restApiId + '/' + stage + '/GET/citizens/*/personal-details'
解决方案2
1 2022-12-13 09:54:16
我的解决方案是制作一个通配符资源,而不是仅仅将event.methodArn传入generateAllow()
通配符资源如下所示,然后将其传递给generateAllow()
var tmp = event.methodArn.split(':');
var apiGatewayArnTmp = tmp[5].split('/');
var resource = tmp[0] + ':' + tmp[1] + ':' + tmp[2] + ':' + tmp[3] + ':' + tmp[4] + ':' + apiGatewayArnTmp[0] + '/*/*';
generatePolicy("1", 'Allow', resource)
可以在此处找到更深入的解释https://aws.amazon.com/premiumsupport/knowledge-center/api-gateway-lambda-authorization-errors/
链/重定向 AWS API 网关自定义授权方,无需显式调用
[英]Chain/Redirect AWS API Gateway custom authorizer without explicit invoke
基于自定义请求的 lambda AWS 授权方 API 网关未触发 API 创新
[英]Custom request-based lambda authorizer for AWS API Gateway is not triggered for API innovations
AWS API Gateway 忽略从自定义授权方 Lambda 函数返回的身份验证策略
[英]AWS API Gateway ignores auth policy returned from the Custom Authorizer Lambda Function
使用 AWS API 网关时,是否可以从自定义 Lambda 授权方传回 JWT 有效负载?
[英]Is it possible to pass back JWT payload from custom Lambda authorizer when using AWS API Gateway?
AWS API 网关 + Cognito + Lambda - $context.authorizer.principalId 为空
[英]AWS API Gateway + Cognito + Lambda - $context.authorizer.principalId empty
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
未调用 AWS API 网关自定义授权方
AWS API 网关和授权方 CORS 错误
链/重定向 AWS API 网关自定义授权方,无需显式调用
如何从 API 网关自定义授权方抛出自定义错误消息
基于自定义请求的 lambda AWS 授权方 API 网关未触发 API 创新
无法在 API 网关中使用自定义授权方
AWS API Gateway 忽略从自定义授权方 Lambda 函数返回的身份验证策略
使用 AWS API 网关时,是否可以从自定义 Lambda 授权方传回 JWT 有效负载?
Python 具有 API 网关的授权方
AWS API 网关 + Cognito + Lambda - $context.authorizer.principalId 为空
相关标签