AWS API Gateway 保护端点

【问题标题】:AWS API Gateway secure an end-pointAWS API Gateway 保护端点
【发布时间】:2019-02-20 11:41:37
【问题描述】:

我有一个由 API Gateway 服务触发的 Lambda 函数,但是这个 API 是由前端应用程序访问的,这个应用程序不需要用户登录或注册来使用它。

但是我想保护我的 API 以仅允许来自我的前端应用程序。

经过我的研究,我发现我可以在 API Gateway 中使用自定义授权,这个自定义授权会检查传入请求的授权标头并进行验证。

问题是,我可以将 Amazon Cognito 用于这样的事情(隐式授权类型)吗? 如果不是,前端应用程序将发送给我以进行验证的东西是什么,我怎样才能让它始终处于可变状态,所以没人能猜到?

谢谢。

【问题讨论】:

    标签: authentication aws-lambda aws-api-gateway amazon-cognito serverless


    【解决方案1】:

    您可以检查标头,但如果它们始终相同,则有人可以从任何客户端发送带有这些标头的 HTTP 请求,并欺骗您的 Lambda 使其认为它来自您的 UI。

    即使您在每次加载 UI 时生成一个唯一令牌并将其包含在标头中,也有人可以获取该令牌并从另一个客户端发送请求。

    您可以构建花哨的 JavaScript 技巧来使标头更具动态性,但这只会使从另一个客户端使用您的 API 变得更加困难,并非不可能。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-12-16
      • 1970-01-01
      • 2020-11-30
      • 2021-02-20
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode