APIGateway的认证

APIGateway的支持的认证如下:

我们从表格中可以看到,HTTP API 不支持资源策略的功能,另外是通过JWT的方式集成Cognito的。

对于REST API则是没有显示说明支持JWT认证,这个我们可以通过Lambda 自定义的方式来实现。

所以按照这个说法,除了资源策略,各种认证方式HTTP API和REST API 都能够实现。

在这里插入图片描述

资源策略

note:HTTP API没有资源策略,所以这个部分都都是关于REST API的。

先谈资源策略,因为这个是两个API唯一不同的地方。

资源策略默认为空,对于公有API来是完全放开的,但是如果写了任意一条策略,那么其他的策略都会变成Deny,但是对于私有API来说,没有资源策略则意味着完全私有。

下面是三种资源策略:

允许特定的账户访问APIGateway,因为访问人是账户,所以这个就需要开启IAM验证。

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::{{otherAWSAccountID}}:root","arn:aws:iam::{{otherAWSAccountID}}:user/{{otherAWSUserName}}","arn:aws:iam::{{otherAWSAccountID}}:role/{{otherAWSRoleName}}"]},"Action": "execute-api:Invoke","Resource": ["execute-api:/{{stageNameOrWildcard*}}/{{httpVerbOrWildcard*}}/{{resourcePathOrWildcard*}}"]}]
}

基于IP的访问策略如下:。

{"Version": "2012-10-17","Statement": [{"Effect": "Deny","Principal": "*","Action": "execute-api:Invoke","Resource": "execute-api:/{{stageNameOrWildcard}}/{{httpVerbOrWildcard}}/{{resourcePathOrWildcard}}","Condition" : {"IpAddress": {"aws:SourceIp": [ "{{sourceIpOrCIDRBlock}}", "{{sourceIpOrCIDRBlock}}" ]}}},{"Effect": "Allow","Principal": "*","Action": "execute-api:Invoke","Resource": "execute-api:/{{stageNameOrWildcard}}/{{httpVerbOrWildcard}}/{{resourcePathOrWildcard}}"}]
}

允许来自来自特定VPC的流量:

{"Version": "2012-10-17","Statement": [{"Effect": "Deny","Principal": "*","Action": "execute-api:Invoke","Resource": "execute-api:/{{stageNameOrWildcard}}/{{httpVerbOrWildcard}}/{{resourcePathOrWildcard}}","Condition": {"StringNotEquals": {"aws:sourceVpc": "{{vpcID}}"}}},{"Effect": "Allow","Principal": "*","Action": "execute-api:Invoke","Resource": "execute-api:/{{stageNameOrWildcard}}/{{httpVerbOrWildcard}}/{{resourcePathOrWildcard}}"}]
}

Lambda授权方

Lambda的认证方式可以自定义认证的方式,以下是一个官方提供的RSET API认证的例子,当然也在这个代码中实现JWT的颁发认证,以及SSO中我们常用的Oauth,SAML和OIDC协议 。

REST API

# A simple token-based authorizer example to demonstrate how to use an authorization token
# to allow or deny a request. In this example, the caller named 'user' is allowed to invoke
# a request if the client-supplied token value is 'allow'. The caller is not allowed to invoke
# the request if the token value is 'deny'. If the token value is 'unauthorized' or an empty
# string, the authorizer function returns an HTTP 401 status code. For any other token value,
# the authorizer returns an HTTP 500 status code.
# Note that token values are case-sensitive.import jsondef lambda_handler(event, context):token = event['authorizationToken']if token == 'allow':print('authorized')response = generatePolicy('user', 'Allow', event['methodArn'])elif token == 'deny':print('unauthorized')response = generatePolicy('user', 'Deny', event['methodArn'])elif token == 'unauthorized':print('unauthorized')raise Exception('Unauthorized')  # Return a 401 Unauthorized responsereturn 'unauthorized'try:return json.loads(response)except BaseException:print('unauthorized')return 'unauthorized'  # Return a 500 errordef generatePolicy(principalId, effect, resource):authResponse = {}authResponse['principalId'] = principalIdif (effect and resource):policyDocument = {}policyDocument['Version'] = '2012-10-17'policyDocument['Statement'] = []statementOne = {}statementOne['Action'] = 'execute-api:Invoke'statementOne['Effect'] = effectstatementOne['Resource'] = resourcepolicyDocument['Statement'] = [statementOne]authResponse['policyDocument'] = policyDocumentauthResponse['context'] = {"stringKey": "stringval","numberKey": 123,"booleanKey": True}authResponse_JSON = json.dumps(authResponse)return authResponse_JSON

这个是官方文档的一张图:
在这里插入图片描述
也就是说当访问APIGatewa有的时候会带上一个凭证,然后这个凭证会被传递到负责验证的Lambda中,这个lambda会根据传递的请求头会返回allow或者deny的资源策略,或者unauthorized的异常。

在这里插入图片描述
在Header中添加{Authorization: allow},是可以请求成功的。

在这里插入图片描述
在Header中添加{Authorization: deny},可以按照预期拦截。
在这里插入图片描述
在Header中添加未认证的token,即不在黑白名单内的,报错500 符合预期

在这里插入图片描述

HTTP API

然后我们再来看HTTP API,由于没有资源策略,所以授权方函数的代码和之前不一样。授权方的配置如下:

在这里插入图片描述
再来看一看代码,

import jsondef lambda_handler(event, context):response = {"isAuthorized": False,"context": {"stringKey": "value","numberKey": 1,"booleanKey": True,"arrayKey": ["value1", "value2"],"mapKey": {"value1": "value2"}}}try:if (event["headers"]["authorization"] == "secretToken"):response = {"isAuthorized": True,"context": {"stringKey": "value","numberKey": 1,"booleanKey": True,"arrayKey": ["value1", "value2"],"mapKey": {"value1": "value2"}}}print('allowed')return responseelse:print('denied')return responseexcept BaseException:print('denied')return response

在Header中添加{Authorization: secretToken},是可以请求成功的。

在这里插入图片描述

如果在请求的时候没有添加Authorization的Header,这个时候是返回401 “message”: “Unauthorized”,由于我们没有在请求的时候带入身份,所以会返回401。

在这里插入图片描述
如果传递的token不对,那么会报错403 “message”: “Forbidden”。即我们传递了一个token到后端,但是没有通过认证,也就说没有对应的权限。

Cognito 授权

note:

  1. 由于中国区没有Cognito用户池,所以此功能在中国区不可用。

  2. REST API 提供了直接集成Cognito的方式,对于HTTP API而言可以使用JWT的方式来支持Cognito。

下面启动一个Cognito用户池,由于是简单测试,所以没有集成第三方身份提供商。

在这里插入图片描述
接下来设置密码策略并且关闭MFA,然后下一步直接到 Step 5 Integrate your app。

在这里插入图片描述

在这里插入图片描述

使用托管UI并且设置Cognito domain的URL,以及回调URL。随后我们通过内置的Cognito UI登录,会调转到我们设置的回调函数,同时带着我们需要的凭证。

在这里插入图片描述
在这里插入图片描述
接下来是创建用户,我们接下来要我们使用这个用户登录Cognito UI。

在这里插入图片描述
然后编辑托管UI的配置选择Implicit grant

在这里插入图片描述
登录之后会跳转到我们的设置的回调函数,同时会返回id_token,access_token。
在这里插入图片描述
设置Cognito授权方,选择前面创建好的Cognito用户池,然后设置加上请求头Authorization。

在这里插入图片描述
填写之后可以测试,使用前面回调返回的id_token,这里测试之后,重新部署API 然后再使用Postman再次测试。

Postman的设置如下,这里添加了请求头{ Authorization: <ID_token> }

在这里插入图片描述

IAM 授权

IAM 认证比较特殊,对于中国区而言,如果你没有备案,那么只能使用IAM认证的方式进行认证。

这里其实就是SignV4的算法,我们可以使用Postman来做签名,如下:

在这里插入图片描述
如果你的应用需要使用SignV4访问API使用代码:

import boto3
import requests
from requests.auth import AuthBase
from botocore.auth import SigV4Auth
from botocore.awsrequest import AWSRequestclass BotoSigV4Auth(AuthBase):"""为 HTTP 请求创建 AWS Signature V4"""def __init__(self, service, region):self.service = serviceself.region = regionself.session = boto3.Session()self.credentials = self.session.get_credentials()def __call__(self, r):aws_request = AWSRequest(method=r.method, url=r.url, data=r.body)SigV4Auth(self.credentials, self.service, self.region).add_auth(aws_request)r.headers.update(dict(aws_request.headers.items()))return rdef main():# 配置service = 'execute-api'region = 'us-east-1'api_url = 'https://你的api网关.execute-api.us-east-1.amazonaws.com/你的阶段/你的资源'# 创建 requests Sessionsession = requests.Session()session.auth = BotoSigV4Auth(service, region)# 发送 GET 请求response = session.get(api_url)# 打印响应print("Response Status Code:", response.status_code)print("Response Text:", response.text)if __name__ == "__main__":main()

JWT 授权

note: 这个部分属于HTTP API的认证,REST API

由于OIDC协议使用JWT作为中间凭证,所以在这里可以使用Auth0来代替JWT的颁发商。配置如下:

在Applications - APIS中新建API:
在这里插入图片描述
然后这个时候,auth0 会自动生成一个Application,后续我们会使用这个Application的Client ID和Secret ID以及Domain的信息来登录。

也就是说这三个信息确定了一个身份池,然后符合规则的用户可以通过这个身份池来换取JWT。可以在Applications-Applications 中看到。

在这里插入图片描述
配置好之后,可以通过Auth0的API来拿到登录后的JWT,以下是一个官方给的教程可以用来测试功能,当然也可以集成到APP中。

APIGateway 的Authorization 配置如下:

在这里插入图片描述
auth0 也提供了实例代码供我们测试:

在这里插入图片描述
官方提供的代码很烂,这个功能完全可以使用requests来实现,代码如下:

import requestsurl = "https://xuhan.au.auth0.com/oauth/token"payload = {"client_id": "iiptrnicFRTaDduDsWQ6W9WlHm0cdvMp","client_secret": "POQsksHOg3330gITitO4-7B_wYBID8xgMN9-Tz8Asp8R6PbXxSg1vq6De8HoIn7p","audience": "https://auth0-jwt-authorizer","grant_type": "client_credentials"
}headers = {'content-type': "application/json"}response = requests.post(url, json=payload, headers=headers)print(response.text)

然后可以使用Postman来进行验证,其实就是在请求头中加上了Authorization: Bearer < your JWT>,这样是可以通过客户端加上凭证范访问APIGateway.

在这里插入图片描述

APIKEY

APIKEY本来是用来做限流的功能,比如说某个服务会提供API给开发者使用,但同时又不希望开发者滥用这样的凭证,所以才有了这个功能。很多人会把这个当成限制匿名用户的一部分,虽然这样的解释没有问题,但是APIKEY的作用仍然是做限流而不是认证。

对于REST API来说APIKEY通常与使用计划关联,然后再再特定的路由中启动APIKEY。在使用计划中写明Burst limit和Rate limit,以及每天或者每月的额度。然后在请求头中带上x-api-key: your apikey
在这里插入图片描述

速率限制(Burst limit) :设计用来控制较长时间尺度(如每秒)内的平均请求量,确保服务的稳定性和可靠性,防止 API 被过度使用。

突发限制(Rate limit): 设计用来处理短时间内的高流量突发,允许在极短的时间窗口内接受较多请求,但不应持续太久,以避免服务器资源被迅速耗尽。

使用Python多进程测试代码如下,实测达到任意限制都会报错 429 {“message”:“Too Many Requests”}

import requests
from multiprocessing import Pooldef make_request(url):headers = {'x-api-key': 'your key api'}response = requests.get(url, headers=headers)if response.status_code != 200:return f"Request failed. Status: {response.status_code} Response: {response.text}"return "Request successful."def main():url = "your url"process_count = 100  # 你可以根据需要调整进程数量with Pool(process_count) as p:results = p.map(make_request, [url] * 10)  # 发送10次请求# 打印出所有结果,包括成功和失败的for result in results:print(result)if __name__ == '__main__':main()

在这里插入图片描述

对于HTTP API 来说则是直接在阶段设置就可以,同样可以达到限流的效果。
在这里插入图片描述

最后关于中国区

中国区有一个特殊的流程叫做ICP备案, 如果没有进行备案的话,那么无论是公网访问还是内网访问,都会遇到如下的401报错

{"message": null
}

当然如果使用自定义域名的话,那么域名也需要备案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/821532.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AR、VR、MR 和 XR——它们的含义以及它们将如何改变生活

AR、VR、MR 和 XR——它们的含义以及它们将如何改变生活

我们的工作、娱乐和社交方式正在发生巨大变化。远程工作的人比以往任何时候都多,屏幕已成为学习和游戏的领先平台。这种演变为元宇宙铺平了道路——如今,像 Meta Quest 2 这样的流行设备将您无缝地带入一个身临其境的世界,您可以在其中购物、创作和玩游戏、与同事协作、探索…
阅读更多...
Ubuntu 部署ChatGLM3大语言模型

Ubuntu 部署ChatGLM3大语言模型

Ubuntu 部署ChatGLM3大语言模型 ChatGLM3 是智谱AI和清华大学 KEG 实验室联合发布的对话预训练模型。 源码&#xff1a;https://github.com/THUDM/ChatGLM3 部署步骤 1.服务器配置 Ubuntu 20.04 8核(vCPU) 32GiB 5Mbps GPU NVIDIA T4 16GB 硬盘 100GiB CUDA 版本 12.2.2/…
阅读更多...
适用于 Windows 的 10 个顶级 PDF 编辑器 [免费和付费]

适用于 Windows 的 10 个顶级 PDF 编辑器 [免费和付费]

曾经打开PDF文件&#xff0c;感觉自己被困在数字迷宫中吗&#xff1f;无法编辑的文本、无法调整大小的图像以及签署感觉像是一件苦差事的文档&#xff1f;好吧&#xff0c;不用再担心了&#xff01;本指南解开了在 Windows 上掌握 PDF 的秘密&#xff0c;其中包含 10 款适用于 …
阅读更多...
04 MySQL --DQL 专题--Union、exists

04 MySQL --DQL 专题--Union、exists

1. UNION、UNION ALL UNION 关键字的作用&#xff1f; 合并两个或多个 SELECT 语句的结果。发挥的作用与 or 非常相似 UNION关键字生效的前提&#xff1f; 每个 SELECT 语句必须拥有相同数量的列。每个 SELECT 语句中的列的顺序必须相同。列必须拥有相似的数据类型。 SELEC…
阅读更多...
Hyperledger Fabric

Hyperledger Fabric

一.Hyperledger Fabric介绍 Hyperledger区块链全家桶 Hyperledger Fabric技术特性 资产 — 资产定义使得几乎任何具有货币价值的东西都可以在网络上交 换&#xff0c;包括从食品到古董汽车再到货币期货。链码 — 链码执行与交易排序的分离&#xff0c;限制了跨节点类型所需的…
阅读更多...
pytorch 今日小知识3——nn.MaxPool3d 、nn.AdaptiveAvgPool3d、nn.ModuleList

pytorch 今日小知识3——nn.MaxPool3d 、nn.AdaptiveAvgPool3d、nn.ModuleList

MaxPool3d — PyTorch 2.2 documentation 假设输入维度&#xff08;1,2,3,4,4&#xff09; maxpool torch.nn.MaxPool3d(kernel_size(2, 2, 2), stride(2, 2, 2), padding(1, 0, 0))F 维的 kernel_size 为 2&#xff0c;说明在 F 维的覆盖的 frame 数为 2&#xff0c;也就是…
阅读更多...
通过Maven导入本地jar包

通过Maven导入本地jar包

1.创建lib文件夹&#xff0c;把jar包放到文件夹里面 2.在pom里导入依赖 导入完成
阅读更多...
LangChain-Chatchat 开源知识库来了

LangChain-Chatchat 开源知识库来了

LangChain-Chatchat 开源知识库来了 LangChain-Chatchat 架构设计LangChain-ChatChat 具体实现过程 一键本地离线部署软件环境硬件环境支持三种部署方式 LangChain-Chatchat 是基于 ChatGLM 等大语言模型与 LangChain 等应用框架实现&#xff0c;开源、可离线部署的 RAG 检索增…
阅读更多...
Achronix FPGA增加对Bluespec提供的基于Linux的RISC-V软处理器的支持,以实现可扩展数据处理

Achronix FPGA增加对Bluespec提供的基于Linux的RISC-V软处理器的支持,以实现可扩展数据处理

Bluespec支持加速器功能的RISC-V处理器将Achronix的FPGA转化为可编程SoC 2024年4月——高性能FPGA芯片和嵌入式FPGA&#xff08;eFPGA&#xff09;硅知识产权&#xff08;IP&#xff09;领域的领先企业Achronix半导体公司&#xff0c;以及RISC-V工具和IP领域的行业领导者Blues…
阅读更多...
ASP.NET MVC中Filter过滤器的使用

ASP.NET MVC中Filter过滤器的使用

MVC Filter是典型的AOP&#xff08;面向切面编程&#xff09;应用&#xff0c;在ASP.NET MVC中的4个过滤器类型&#xff0c;如下&#xff1a; 但是默认实现它们的过滤器只有三种&#xff0c;分别是ActionFilter&#xff08;方法&#xff09;&#xff0c;Authorize&#xff08;授…
阅读更多...
Visual Studio2010源码编译curl_7_60

Visual Studio2010源码编译curl_7_60

一、源码解压目录内容 很开心里面可以找到CMakeLists.txt文件&#xff0c;说明可以实用CMake工具进行构建&#xff0c;由于多数开源项目都选择实用CMake作为构建编译工具&#xff0c;大家蝇该都比较熟练了。 二、实用CMake开始构建Visual Studio 2010工程 很顺利整个构建过程没…
阅读更多...
数据分析(2)

数据分析(2)

数据分析&#xff08;2&#xff09; 本文介绍pandas的另一种数据类型DataFrame,中文叫数据框 DataFrame 定义&#xff1a; DataFrame是一个二维的矩阵数据表&#xff0c;通过行和列&#xff0c;可以定位一个值。 在某种程度上&#xff0c;可以认为DataFrame是“具有相同ind…
阅读更多...
2024蓝桥杯每日一题(组合计数)

2024蓝桥杯每日一题(组合计数)

备战2024年蓝桥杯 -- 每日一题 Python大学A组 试题一&#xff1a;计算系数 试题二&#xff1a;求组合数1 试题三&#xff1a;求组合数2 试题四&#xff1a;杨辉三角形 试题一&#xff1a;计算系数 【题目描述】 给定一个多项式 (axby)k&#xff0c;请…
阅读更多...
Web3.0与AI的交融:开启智能互联网新时代

Web3.0与AI的交融:开启智能互联网新时代

目前有140 多个 Web3 AI 概念项目&#xff0c;覆盖了基础设施、数据、预测市场、计算与算力、教育、DeFi & 跨链、安全、NFT & 游戏 & 元宇宙、搜索引擎、社交 & 创作者经济、AI 聊天机器人、DID & 消息传递、治理、医疗、交易机器人等诸多方向。持续关注…
阅读更多...
【云计算】混合云分类

【云计算】混合云分类

《混合云》系列&#xff0c;共包含以下 3 篇文章&#xff1a; 【云计算】混合云概述【云计算】混合云分类【云计算】混合云组成、应用场景、风险挑战 &#x1f60a; 如果您觉得这篇文章有用 ✔️ 的话&#xff0c;请给博主一个一键三连 &#x1f680;&#x1f680;&#x1f68…
阅读更多...
HarmonyOS开发实例:【分布式邮件】

HarmonyOS开发实例:【分布式邮件】

概述 基于TS扩展的声明式开发范式编程语言编写的一个分布式邮件系统&#xff0c;可以由一台设备拉起另一台设备&#xff0c;每次改动邮件内容&#xff0c;都会同步更新两台设备的信息。效果图如下&#xff1a; 搭建OpenHarmony开发环境 完成本篇Codelab我们首先要完成开发环境…
阅读更多...
智慧电网数据可视化运维云平台解决方案

智慧电网数据可视化运维云平台解决方案

智慧电力概述 智慧电力是通过采用先进的大数据、云计算、物联网、边缘计算等技术&#xff0c;实现生产信息与管理信息的智慧&#xff0c;实现人、技术、经营目标和管理方法的集成&#xff0c;是企业管理思想的一个新突破。智慧电厂建设具备智能化、一体化、可观测、可互动、自…
阅读更多...
RAKsmart:硅谷裸机云多IP服务器性能评测

RAKsmart:硅谷裸机云多IP服务器性能评测

在云计算领域&#xff0c;裸机云作为一种结合了传统物理服务器与云计算优势的服务模式&#xff0c;近年来备受关注。硅谷裸机云作为业界佼佼者&#xff0c;以其出色的性能和稳定性赢得了众多用户的青睐。今天&#xff0c;我们就来评测一下硅谷裸机云的多IP服务器性能。 首先&am…
阅读更多...
WPF Extended.Wpf.Toolkit 加载界面

WPF Extended.Wpf.Toolkit 加载界面

1、NuGet 中安装 Extended.Wpf.Toolkit 。 2、在MainWindow.xaml中添加xmlns:tk"http://schemas.xceed.com/wpf/xaml/toolkit" 。 MainWindow.xaml 代码如下。 <Window x:Class"WPF_Extended_Wpf_Toolkit_Loading.MainWindow" xmlns"ht…
阅读更多...
Swoole 实践篇之结合 WebRTC 实现音视频实时通信方案

Swoole 实践篇之结合 WebRTC 实现音视频实时通信方案

原文首发链接&#xff1a;Swoole 实践篇之结合 WebRTC 实现音视频实时通信方案 大家好&#xff0c;我是码农先森。 引言 这次实现音视频实时通信的方案是基于 WebRTC 技术的&#xff0c;它是一种点对点的通信技术&#xff0c;通过浏览器之间建立对等连接&#xff0c;实现音频…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023