Mar*_*ero 6 amazon-api-gateway client-certificate
我正在评估使用客户端证书来提高我正在处理的应用程序的安全性。这一切都在 AWS 上运行,并通过带有附加 Lambda 授权方的 API 网关。
AWS 文档指出 API Gateway 不支持通过客户端证书进行身份验证,但允许您在后端进行身份验证,但文档并未提及使用 Lambda 授权方时会发生什么。
我的第一个赌注是它不会工作,因为 API Gateway 无法看到标头。但是当 API Gateway 处理证书的创建和存储时,它可能至少可以在数据流内部对等以获取允许 Lambda 授权器工作的标头数据。
在我的情况下,我想将客户端证书添加到我已经存在的基于令牌的授权中。
可以实现此设置,或者只能通过将令牌验证移动到后端来完成。
更新:API 网关现在支持 mTLS! https://aws.amazon.com/blogs/compute/introducing-mutual-tls-authentication-for-amazon-api-gateway/
旧答案:
客户端证书验证发生在 TLS 握手期间。lambda 授权方处理 HTTP 请求示例输入。所以你无法进行真正的相互认证。您可以做一些自定义解决方案,在标头中塞入一些签名信息(例如 sigv4),但这并不是我们在讨论相互 TLS 时真正讨论的内容。
| 归档时间: |
|
| 查看次数: |
2057 次 |
| 最近记录: |