API 网关中的 mtLS 和使用 Lambda 授权方或 Cognito 的授权
[英]mtLS in API Gateway and authorization using Lambda authorizer or Cognito
问题描述
这篇AWS 博客讨论了如何使用双向 TLS 保护您的 API。 当我尝试配置 Lambda 自定义授权方时,我看不到能够从上下文属性中获取客户端证书 - 它似乎丢失了。 是否缺少某些配置? 请问有人有例子吗?
该博客还说“除了通过客户端证书进行的初始双向 TLS 身份验证之外,您还可以使用所有现有的 API 网关授权方选项。这包括 JSON Web 令牌 (JWT)/Cognito 用户池授权方、Lambda 授权方和基于 IAM 的授权方。 “ 有人能够提供有关使用 JWT)/Cognito 用户池授权方的指导 - 特别是如何将用户身份传递给 Cognito 以获得 JWT 令牌? 还是我完全忽略了重点?
提前致谢, 凯文
1 个解决方案
解决方案1
0 2023-01-24 14:56:41
请注意,mTLS 通过“自定义域名”配置进行配置,并在授权方之前进行处理。 只有在“自定义域名”配置中启用 mTLS 时,授权方才会获取客户端证书信息。 它不必验证证书,但可以使用证书。
此外,通过默认端点的流量不能进行 mTLS 检查,因为它不是自定义域名。
将 mTLS 和其他身份验证分开考虑可能会有所帮助。 您可以在 mTLS 连接中拥有 JWT 身份验证令牌 header。 API 网关将处理 mTLS 检查,您的授权 lambda 可以处理 JWT 检查。
除此之外,我无法更彻底地回答您的第二个问题,并且对 StackOverflow 规则不够熟悉,无法建议将它们分开。 也许具有 Cognito 专业知识的人可以将第二个问题的答案编辑到这个问题中。
AWS API 网关 + Cognito + Lambda - $context.authorizer.principalId 为空
[英]AWS API Gateway + Cognito + Lambda - $context.authorizer.principalId empty
使用 API Gateway V2 通过 AWS 授权方(Cognito 或 Lambda)设置 HTTP Only cookie
[英]Set HTTP Only cookie with an AWS Authorizer (Cognito or Lambda) using API Gateway V2
AWS API 网关 - 将访问令牌与 Cognito 用户池授权方一起使用?
[英]AWS API Gateway - using Access Token with Cognito User Pool authorizer?
授权 header 是由 Cognito 授权人传递给 lambda function 的吗?
[英]is the Authorization header passed to lambda function by Cognito Authorizer?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
使用Lambda授权器的AWS Cognito和API网关
具有Cognito用户池授权者和Lambda的API网关
使用 Lambda 授权器的 AWS Cognito 和 Websocket Api
AWS API 网关 + Cognito + Lambda - $context.authorizer.principalId 为空
使用 API Gateway V2 通过 AWS 授权方(Cognito 或 Lambda)设置 HTTP Only cookie
在 API Gateway 中使用 AWS Lambda Authorizer
AWS API 网关 - 将访问令牌与 Cognito 用户池授权方一起使用?
授权 header 是由 Cognito 授权人传递给 lambda function 的吗?
AWS API 网关与 Lambda 授权器
使用 Api 网关和 Lambda 进行授权
相关标签