tef*_*fad 9 javascript amazon-web-services node.js aws-lambda aws-api-gateway
我有一个 API 网关,其端点由 AWS Lambda 代理集成实现。我还为此端点配置了自定义授权方。我看到一个问题,我向该端点发出的第一个请求成功,但其他调用将失败;我收到一个 403 - 禁止的错误。如果我等待一段时间,我可以提出另一个成功的请求,但随后我开始看到同样的问题。
这是我的授权人代码:
const jwt = require('jsonwebtoken');
exports.authorizer = async function (event, context) {
const bearerToken = event.authorizationToken.slice(7);
const { payload } = jwt.decode(bearerToken);
return {
principalId: payload.sub,
policyDocument: {
Version: '2012-10-17',
Statement: [{
Action: 'execute-api:Invoke',
Effect: 'Allow',
Resource: event.methodArn,
}],
},
};
};
在此端点的 API 网关日志中,我可以看到授权方正在返回,Allow但我仍然可以看到授权失败:
(50ac5f87-e152-4933-a797-63d84a528f61) 客户端无权执行此操作。
有谁知道这会如何或为什么会发生?
我认为问题在于您的授权人发回的响应。在您的保单文件中,您可以看到您正在返回Resource: event.methodArn。
这通常会起作用,前提是您的授权方没有缓存来自自定义授权方的响应(默认情况下启用)。当您发出请求 API 网关并取回与当前请求的请求 ARN 不匹配的缓存授权方响应时,就会出现您遇到的问题。这篇文章详细介绍了 Lambda 授权方的工作方式,包括缓存。
您可以通过进入 AWS 控制台并为您的自定义授权方禁用缓存来验证这是问题所在;一旦你这样做了,你应该不会再遇到这个问题。
那么如何解决这个长期问题呢?有几个选项:
禁用缓存:这是最简单的解决方案。缺点是您现在正在为每个请求调用授权方,这会给您的 API 带来更多延迟。
返回更广泛的策略:这是最好的解决方案,但更复杂。这里有几个选项,您可以Allow在授权方响应中返回多个策略,这些策略适用于使用此授权方的任何端点。
如果您查看授权方请求的格式,您会看到它methodArn采用以下格式:
{
"type":"TOKEN",
"authorizationToken":"{caller-supplied-token}",
"methodArn":"arn:aws:execute-api:{regionId}:{accountId}:{appId}/{stage}/{httpVerb}/[{resource}/[{child-resources}]]"
}
因此,您可能会为以下内容返回以下内容methodArn:
arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/e56bde3c-7c77-46c6-bdf0-ab4a8cb5f5ca
适用于该端点的任何资源的更广泛的策略是:
arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/*
如果您有多个使用同一授权方的端点,则可以返回多个策略:
{
"principalId": "user",
"policyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "execute-api:Invoke",
"Effect": "Allow",
"Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/GET/my-resource/*"
},
{
"Action": "execute-api:Invoke",
"Effect": "Allow",
"Resource": "arn:aws:execute-api:us-west-2:123456789012:ymy8tbxw7b/*/POST/my-resource"
}
]
}
}
| 归档时间: |
|
| 查看次数: |
3754 次 |
| 最近记录: |