cos*_*r11 46 amazon-s3 amazon-ec2 amazon-web-services oauth-2.0
AWS有一个API网关,可以很容易地设置,管理和监控您的API.但是,您可以为资源方法设置的安全授权设置仅限于AWS-IAM(根据我的理解,这是一个内部vpn角色?).
看来,我对这个问题的研究已经指向我建立一个AWS Cognito池,但是当我去配置一个在我的AWS控制台,对供应商的选择是:Amazon,Facebook,Google+,Twitter,OpenID,和Custom.我想,在那种情况下,我会用Custom?然后将我自己的EC2实例设置为OAuth2身份验证提供程序服务器.
鉴于Oauth2如今如此受欢迎,令我惊讶的是,没有AWS服务.看起来他们已经走了整个OpenId或SAML路线.令我惊讶的是,缺乏有关如何在云中快速设置Oauth2提供程序的指南.
任何帮助,将不胜感激.
Tak*_*aki 32
(1)您是否要在API网关上实施OAuth 2.0端点(授权端点和令牌端点)?换句话说,您真的想在API网关上实现OAuth 2.0服务器(RFC 6749)吗?
(2)或者,您是否希望通过OAuth 2.0 访问令牌保护在API网关上实现的Web API ?
这两个是完全不同的东西.
因为您似乎想要选择OAuth 2.0而不是AWS-IAM,我想您想要做的是(2).如果是这样,您可以在此处找到示例:Amazon API Gateway + AWS Lambda + OAuth
2016年2月11日,AWS Compute Blog的博客文章 " 在Amazon API Gateway中引入自定义授权器 "宣布自定义授权器已引入Amazon API Gateway.由于这种机制,在Amazon API Gateway上构建的API可以将客户端应用程序提供的承载令牌(例如OAuth或SAML令牌)的验证委托给外部授权者.
如何使用新机制Custom Authorier保护OAuth访问令牌在Amazon API Gateway上构建的API在" Amazon APi Gateway Custom Authorizer + OAuth "中有所描述.
供参考:
OAuth 2.0是一种授权机制,而不是身份验证机制.但人们经常使用OAuth 2.0进行身份验证,并且有许多使用OAuth 2.0进行身份验证的软件库和服务.
Cognito(身份)是与身份验证相关的解决方案,而不是授权.
Cognito中的自定义是指定OpenID Connect Providers的位置.OpenID Connect是一种身份验证解决方案.让事情变得复杂的是"OpenID Connect建立在OAuth 2.0之上".有关详细信息,请参阅OpenID Connect站点.
AWS API Gateway现在支持 Amazon Cognito OAuth2 范围。您可以创建 Amazon Cognito 用户池授权方并将其配置为API Gateway 中的授权方法。为了使用 OAuth 范围,您需要使用 Cognito 用户池配置资源服务器和自定义范围。您可以在 Cognito 用户池中配置多个具有不同范围的应用程序客户端,或者在从您的用户池对用户进行身份验证时从您的应用程序代码请求不同的范围。根据从 Cognito收到的访问令牌中收到的范围,API Gateway 将允许/拒绝您的 API 的调用者。可在此处找到实施此功能的分步指南
| 归档时间: |
|
| 查看次数: |
46565 次 |
| 最近记录: |
