aws lambda_API网关和AWS Lambda进行身份验证
aws lambda
当Foreach最初踏上微服务之路时,我们并没有真正构建微服务。 我们以为我们做到了,但是我们所有的服务中总存在一些逻辑。 当然,每个服务实际上应该只专注于自己的任务,而不应该专注于属于另一个微服务的事物。 我们这方面最明显的棘手是认证和授权逻辑。
在某个时候,我们有几个“微”服务,它们根据AuthenticationService
(甚至在较早的日子,甚至是针对共享数据库)验证了传入请求的Authorization标头。 这给我们的AuthenticationService
比我们想要的更多的负载(多次验证同一个令牌),但是这也导致在所有这些服务中都存在一些重要的代码。 而且,正如任何开发人员所知,共享代码铺平了通往地狱的道路。 微服务变得超出其实际用途,这使得它们变得更难开发和维护。
在寻求救赎的过程中,我们Swift确定了一些可以帮助我们的解决方案。
JSON Web令牌
我们考虑的第一件事是开始使用JSON Web令牌(JWT) 。 JWT是一种开放标准,它定义了一种独立的方式来在各方之间安全地传输信息。 自包含意味着令牌本身可以包含我们需要的所有信息,例如用户的标识符或用户名。 安全意味着其他方不可能干扰这些令牌。 令牌包含一个加密部分,要解密它,您需要一个只有您知道的秘密密钥。 换句话说,如果令牌已被篡改,您将知道。
JWT是一个非常有趣的领导者,因为从我们这方面进行最小的调整,我们从理论上甚至可以消除微服务中的一些额外工作量(它们无论如何都不应这样做)。 令牌的验证将是一个最小的过程,可以很好地集成到Spring框架中,因此我们不需要那么多代码。 令牌还将包含我们需要的所有信息,因此我们不再需要从另一个Web服务请求此信息。
但是,JWT的问题在于,已经有其他各方开发的其他应用程序与API集成在一起。 事实证明,当我们开始分发JWT令牌时,并不是所有的应用程序都那么满意。 由于短期内无法更改这些应用程序,因此我们暂时保留了这一想法。
API网关
我们的另一个想法是引入API网关。 这可以看作是我们API的包装,意在为最终用户抽象我们的API。 它可能会更改对另一种格式的响应。 它可以将多个HTTP请求合并为一个请求。 或者它可以提供其他监视功能(例如“谁向某个端点发送垃圾邮件?”)。 但最重要的是,它应该抽象出与身份验证有关的所有内容。
在我们的例子中,想法是API网关甚至在请求被代理到我们的应用程序之前都会验证传入的Authorization标头。 它应该缓存结果,以便如果同一用户请求五个端点,我们仍然每小时仅验证一次令牌,并且应该将身份验证信息传递给我们的API,以便我们知道谁在请求资源。
我们的解决方案:AWS API Gateway
https://docs.aws.amazon.com/apigateway/latest/developerguide/images/custom-auth-workflow.png
市场上有许多符合此描述的产品,但是经过一番考虑,我们决定尝试一下AWS API Gateway。 我们实施了自定义的“授权人”。 这是一个Lambda函数,它接收客户端提供的授权令牌作为输入,并返回客户端是否有权访问所请求的资源。 如果身份验证被拒绝,API网关将向客户端返回403 HTTP代码。 否则,该请求将被代理到我们的服务中。 授权者Lambda的结果在缓存中保留了一个小时。 我们还希望使用HTTP标头将用户的身份传递给我们的基础服务。 这样,我们知道谁在我们的应用程序中执行请求。
授权者
我们的自定义Lambda函数是用Python编写的。 它从传入的请求中获取Authorization标头,并向我们的AuthenticationService
启动HTTP请求-这是我们唯一可以验证传入的信息是否有效以及令牌适用于谁的地方。 这个HTTP请求将告诉我们最终用户是谁。
Lambda函数的代码(主要基于AWS提供的示例代码)如下所示:
from __future__ import print_function import re
import urllib2
import base64
import json
import os def lambda_handler(event, context): print("Client token (provided): " + event['authorizationToken']) clientAuthorizationToken = re.sub('^%s' % 'Bearer', '', re.sub('^%s' % 'bearer', '', event['authorizationToken'])).strip() print("Client token (parsed): " + clientAuthorizationToken) print("Method ARN: " + event['methodArn']) url = os.environ['CHECK_TOKEN_ENDPOINT'] + "?token=" + clientAuthorizationToken print("Check token URL: " + url) authorizationHeader = 'Basic %s' % base64.b64encode(os.environ['CHECK_TOKEN_ENDPOINT_CLIENT_ID'] + ':' + os.environ['CHECK_TOKEN_ENDPOINT_CLIENT_SECRET']) print("Our authorization header: " + authorizationHeader) tmp = event['methodArn'].split(':') apiGatewayArnTmp = tmp[5].split('/') awsAccountId = tmp[4] policy = AuthPolicy('urn:user:unknown', awsAccountId) policy.restApiId = apiGatewayArnTmp[0] policy.region = tmp[3] policy.stage = apiGatewayArnTmp[1] request = urllib2.Request(url, headers={"Authorization": authorizationHeader}) try: result = urllib2.urlopen(request) data = json.load(result) print("HTTP Response data: " + str(data)) context = { 'userUrn': data['user_urn'] if data.has_key('user_urn') else None, 'clientId': data['client_id'] } policy.principalId = data['user_urn'] if data.has_key('user_urn') else 'urn:client:%s' % data['client_id'] policy.allowMethod('*', '*') print('Allowing resource %s. Client: %s, User: %s, Principal: %s' % (policy.allowMethods[0]['resourceArn'], context['clientId'], context['userUrn'], policy.principalId)) except urllib2.HTTPError, e: print("Error during the HTTP call: %s" % e) policy.denyAllMethods() context = {} authResponse = policy.build() authResponse['context'] = context return authResponse class HttpVerb: GET = 'GET' POST = 'POST' PUT = 'PUT' PATCH = 'PATCH' HEAD = 'HEAD' DELETE = 'DELETE' OPTIONS = 'OPTIONS' ALL = '*' class AuthPolicy(object): awsAccountId = '' principalId = '' version = '2012-10-17' pathRegex = '^[/.a-zA-Z0-9-\*]+$' allowMethods = [] denyMethods = [] restApiId = '*' region = '*' stage = '*' def __init__(self, principal, awsAccountId): self.awsAccountId = awsAccountId self.principalId = principal self.allowMethods = [] self.denyMethods = [] def _addMethod(self, effect, verb, resource, conditions): if verb != '*' and not hasattr(HttpVerb, verb): raise NameError('Invalid HTTP verb ' + verb + '. Allowed verbs in HttpVerb class') resourcePattern = re.compile(self.pathRegex) if not resourcePattern.match(resource): raise NameError('Invalid resource path: ' + resource + '. Path should match ' + self.pathRegex) if resource[:1] == '/': resource = resource[1:] resourceArn = 'arn:aws:execute-api:{}:{}:{}/{}/{}/{}'.format(self.region, self.awsAccountId, self.restApiId, self.stage, verb, resource) if effect.lower() == 'allow': self.allowMethods.append({ 'resourceArn': resourceArn, 'conditions': conditions }) elif effect.lower() == 'deny': self.denyMethods.append({ 'resourceArn': resourceArn, 'conditions': conditions }) def _getEmptyStatement(self, effect): statement = { 'Action': 'execute-api:Invoke', 'Effect': effect[:1].upper() + effect[1:].lower(), 'Resource': [] } return statement def _getStatementForEffect(self, effect, methods): statements = [] if len(methods) > 0: statement = self._getEmptyStatement(effect) for curMethod in methods: if curMethod['conditions'] is None or len(curMethod['conditions']) == 0: statement['Resource'].append(curMethod['resourceArn']) else: conditionalStatement = self._getEmptyStatement(effect) conditionalStatement['Resource'].append(curMethod['resourceArn']) conditionalStatement['Condition'] = curMethod['conditions'] statements.append(conditionalStatement) if statement['Resource']: statements.append(statement) return statements def allowAllMethods(self): self._addMethod('Allow', HttpVerb.ALL, '*', []) def denyAllMethods(self): self._addMethod('Deny', HttpVerb.ALL, '*', []) def allowMethod(self, verb, resource): self._addMethod('Allow', verb, resource, []) def denyMethod(self, verb, resource): self._addMethod('Deny', verb, resource, []) def allowMethodWithConditions(self, verb, resource, conditions): self._addMethod('Allow', verb, resource, conditions) def denyMethodWithConditions(self, verb, resource, conditions): self._addMethod('Deny', verb, resource, conditions) def build(self): if ((self.allowMethods is None or len(self.allowMethods) == 0) and (self.denyMethods is None or len(self.denyMethods) == 0)): raise NameError('No statements defined for the policy') policy = { 'principalId': self.principalId, 'policyDocument': { 'Version': self.version, 'Statement': [] } } policy['policyDocument']['Statement'].extend(self._getStatementForEffect('Allow', self.allowMethods)) policy['policyDocument']['Statement'].extend(self._getStatementForEffect('Deny', self.denyMethods)) return policy
网关配置
创建Lambda函数之后,该配置网关了。 您可以在AWS控制台中或使用CloudFormation模板执行此操作。 我们不会详细解释如何配置API网关,因为这是AWS站点上记录良好的任务 。 但是,我将解释一些配置授权者的细节。
授权人
在“ API网关配置”部分中的左侧,您会看到“授权者”选项。 您可以在那里选择创建新的授权者。 当您单击按钮时,您将看到以下表格:
重要事项:
- Lambda函数:选择您之前创建的授权者Lambda
- Lamba事件有效负载:令牌
- 令牌来源:授权(如果您的客户端使用授权标头发送令牌)
- 授权缓存:已启用
资源资源
接下来,我们转到您要保护的方法。 单击左侧的资源,然后在列表中选择一种方法。 您应该看到类似于以下屏幕的屏幕:
点击“方法请求”。 然后,您可以在顶部配置为使用之前添加的授权者。
返回上一个屏幕,然后单击“集成请求”。 在底部,我们将配置一些要发送到API的标头。 这些包含有关用户的信息,我们将在API中使用这些信息来了解谁在发出请求。 注意:我们不必担心恶意用户在请求中发送这些标头。 它们将被我们的自定义授权者覆盖。
未来
虽然我们当前的实施在生产中运行良好,但我们始终在寻找有关如何改进我们的产品以及由此向客户提供服务的想法。 我们将继续关注的事情之一是,有一天开始使用JWT令牌,这很可能与API Gateway结合使用。 这将使设置更加容易,但是将需要对某些应用程序进行更改,这是我们目前无法做到的。
此外,我们确实对如何从API网关中获取更多信息有一些想法。 我们对每个应用程序和每个用户的速率限制非常感兴趣。 我们希望能够以这种方式配置移动应用程序,例如,仅允许每小时执行一百个请求,或者仅允许某个最终用户少量请求。
将API Gateway与AWS Lambda结合使用是一种相对简单的方法,可以在您的应用程序中添加可靠的身份验证方法,而不会造成其他服务中断。
翻译自: https://www.javacodegeeks.com/2018/11/api-gateway-aws-lambda-authentication.html
aws lambda
aws lambda_API网关和AWS Lambda进行身份验证相关推荐
- API网关和AWS Lambda进行身份验证
当Foreach最初涉足微服务领域时,我们并没有真正构建微服务. 我们以为我们做到了,但是我们所有的服务中总存在一些逻辑. 当然,每个服务实际上应该只专注于自己的任务,而不应该专注于属于另一个微服务的 ...
- aws 短信验证_在AWS Kubernetes上进行抛光的rshiny身份验证
aws 短信验证 If you're looking for a hassle free way to add authentication to your RShiny Apps you shoul ...
- aws rds监控慢sql_AWS RDS SQL Server中的初始Windows身份验证配置
aws rds监控慢sql In this article, we will be exploring the process of enabling Windows authentication i ...
- 微服务-API网关-身份验证
一.身份验证介绍 身份验证通常是进入系统的第一道大闸,要求用户出具登录此系统的身份证明.其实在实际情况下,很多人开发的系统都没有身份验证功能或者就只有普通用户名和密码验证功能,这样的系统其实都是不完善 ...
- aws lambda_Express.js和AWS Lambda —无服务器的爱情故事
aws lambda by Slobodan Stojanović 由SlobodanStojanović Express.js和AWS Lambda -无服务器的爱情故事 (Express.js a ...
- aws mfa 认证_如何为您的AWS账户设置多因素身份验证(MFA)
aws mfa 认证 第1步 : 转到AWS控制台并使用您的用户名密码登录. 第2步 : 转到服务-> IAM 第三步: 单击您的根帐户上的激活MFA 第4步 : 在步骤3中,点击屏幕上的管理M ...
- 如何为您的AWS账户设置多因素身份验证(MFA)
步骤1 : 转到AWS控制台并使用您的用户名密码登录. 第2步 : 转到服务-> IAM 第三步: 单击您的根帐户上的激活MFA 第四步 : 在步骤3中,点击屏幕上的管理MFA按钮. 步骤5: ...
- aws rds监控慢sql_AWS RDS SQL Server中的高级Windows身份验证配置
aws rds监控慢sql This article will cover advanced configurations for Windows Authentication in AWS RDS ...
- AWS认证之身份验证考题总结
这里写自定义目录标题 AWS认证之身份验证考题总结 责任共担模式 重要考点 AWS身份验证和访问控制 其他考点 考试样题答案及解析 AWS认证之身份验证考题总结 用户和AWS共担责任,提高系统安全性, ...
最新文章
- 【Linux】使用xshell登陆时密码框为灰色,无法输入密码
- VC6中根据需要显示滚动条
- 最短网络 Agri-Net
- HTML与CSS布局技巧总结
- 从物联网发展历程看区块链挑战
- select样式的重写
- linux下进程监听端口,linux下查看监听端口对应的进程
- 编程师代码G都喜欢的|细致场景森系插画手机壁纸
- Linux学习入门--make学习总结
- 中国产品质量协会AAA等级企业限定为500家
- rost反剽窃检测系统_论文为什么需要进行查重检测?
- 使用OpenCV进行图片模糊处理(归一化滤波器)
- 数字证书、ssl、sasl(GSSAPI,Kerberos)、jaas简单解释
- Python办公自动化【Word】
- 《大师谈游戏设计——创意与节奏》【笔记二】
- JAVA权重计算(根据自己理解计算的,不喜勿喷)
- 红帽RHCE考试下午-RHCE (RH294)任务概览[2021最新版]
- Java中常见的单词
- 网页中打开word文档
- [转]用Eclipse进行可视化Java界面设计
热门文章
- CF1408G:Clusterization Counting(区间dp、克鲁斯卡尔重构树)
- P6466-分散层叠算法(Fractional Cascading)【模板】
- P4126-[AHOI2009]最小割【网络流,tarjan】
- CF444C-DZY Loves Colors【线段树,set】
- AtCoder Beginner Contest 211 E - Red Polyomino(暴力+状态记录)
- Sentinel(二十六)之Sentinel Dashboard中修改规则同步到Nacos
- 2019阿里天猫团队Java高级工程师面试题之三轮面试
- MYSQL 入门全套
- 又发生频繁FGC,这次是谁的锅
- 两张趣图助你理解 HTTP 状态码