如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点

【问题标题】:How to restricted to access AWS API Gateway endpoint by Cognito user id如何通过 Cognito 用户 ID 限制访问 AWS API Gateway 端点
【发布时间】:2021-07-25 18:43:37
【问题描述】:

我正在尝试使用 AWS Cognito、Api-Gateway 和 Lambda 实现电子商务应用程序后端。

要创建新项目,用户必须登录。创建项目后,使用的登录者将成为项目的创建者。我已经创建了一个 Item-create 端点并为 Apigateway 端点添加了 Cognito-JWT 授权方。

现在我需要实现 Item-update 端点。必须仅允许项目的创建者进行相关的项目更新。 API可能是这样的。

/items/{item-id} PUT
body : { title, price... }
header { Authorization: Cognito-JWT-Token }

使用 AWS 生态系统实施此类功能的最佳方式是什么。或实现此类功能的任何最佳实践。

【问题讨论】:

    标签: amazon-web-services aws-lambda aws-api-gateway amazon-cognito amazon-iam


    【解决方案1】:

    您将为作为用户 ID 的每个项目创建一个属性 owner。通常,您会使用令牌中的 sub 声明,这是一个唯一 ID。但是,出于各种原因,我不建议将主题值与 cognito 一起使用。如果有人删除了他们的帐户并使用相同的电子邮件创建了一个新帐户,您可以使用电子邮件确保安全措施到位。

    无论您选择什么,在您的处理程序中将所有者与经过验证的令牌声明进行比较。如果匹配则允许,如果不匹配则禁止。

    【讨论】:

    • 谢谢@Andrew。这意味着我们必须在 lambda 处理程序中处理它。
    • 对于 REST API 是的。如果您使用身份池,您可以在 dynamodbS3 中强制执行细粒度访问。但我不会采用这种方法,因为它的迁移路径非常糟糕。
    猜你喜欢
    • 2016-08-24
    • 2022-11-15
    • 2020-02-15
    • 2020-10-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-10-20
    • 2018-10-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode