amazon-web-services - AWS HTTP API Gateway jwt 验证
问题描述
我对 Http API 网关验证 jwt 签名的方式有疑问。我使用 eu-west-1 中托管的 cognito 用户池作为身份提供者/令牌颁发者。我在 eu-west-1 和 us-east-1 中部署了一个 Http API 网关。我使用 SAM 进行设置,api 部分如下所示:
HttpApi:
Type: AWS::Serverless::HttpApi
Properties:
DisableExecuteApiEndpoint: true
StageName: !Ref StageName
DefinitionBody:
'Fn::Transform':
Name: AWS::Include
Parameters:
Location: api.yaml
Auth:
DefaultAuthorizer: OAuth2Authorizer
Authorizers:
OAuth2Authorizer:
IdentitySource: $request.header.Authorization
JwtConfiguration:
issuer: https://cognito-idp.eu-west-1.amazonaws.com/eu-west-1_xxxxxxxx
audience:
- xxxxxxxxx
一切正常,但是当我进行一些性能测试时,我发现向路由添加授权会大大增加延迟。eu-west-1 中托管的 api 的延迟从 75ms 增加到 100ms,但 us-east-1 中托管的 api 的延迟从 160ms 增加到 550ms(从荷兰运行的测试结果是超过 50 次调用的平均值每次测试)。这些结果似乎表明,为了验证 Authorization 标头中的 jwt 不记名令牌,api 网关为每个要求。我对 Oauth 的了解有限,但我认为 .well-known/openid-configuration 只需要定期检查,因此 api 网关可以验证令牌而无需进行额外的网络调用。我不知道从这里去哪里,因为我不知道这是否只是事情的运作方式,或者这是否是 Oauth 的事情,或者它是否完全是其他事情。任何反馈将不胜感激。
解决方案
授权方应偶尔调用 Cognito,以从 JWKS 端点获取令牌签名公钥。
然后,在 AWS 控制台中,您需要确保在 API Gateway / Authorizers 下启用了授权缓存,并且它指向 HTTP 授权标头作为缓存的键。这将确保使用相同访问令牌的后续调用不会导致 Cognito 查找。至少我希望这样的OAuth2Authorizer作品 - 否则将无法使用。
我的资源
我有一些关于这可能会帮助你更好地理解机制的东西:
我的情况有点不同,因为我使用的是 REST 端点(而不是 HTTP)并且还实现了一个自定义授权方。希望您可以避免这种情况,因为它非常不愉快。值得理解的是,策略文档是使结果缓存起作用的机制。
未来
AWS 中的授权机制非常有限,例如它不适用于安全 cookie。因此,我希望更新我的代码以在每个 lambda 中执行 OAuth 工作,以及单独的缓存。
推荐阅读
- python - Errno 30 只读文件系统:'default.xlsx'
- ruby-on-rails - Rails 6 has_many 建立关系问题
- sql - 获取从当前日期开始最近 12 个月的 SQL 中的结果集
- r - 为什么我的数据是用平线而不是常规折线图绘制的?R
- mongodb - 启动 mongodb 企业版 4.2 的问题
- discord - 有没有办法在不实际 ping 用户的情况下提及用户(蓝色突出显示)?
- vba - 访问未导出到 EXCEL 的 vba 代码“参数太少。应为 1。”
- svg - 如何知道这个 SVG 的半径?
- nginx - NGINX location {} 不同的根目录
- r - R,如何使用变量的内容作为列表字段的名称?