amazon api Gateway-Web应用程序的自定义授权者与认知身份验证
我一直在做一个网络应用程序。(通过API网关,在S3上安装Angular2,在lambda中安装API)。对于身份验证,我使用了cognito和自定义授权器(我通过自定义授权器和cognito将我的身份验证配置为与Google和Facebook bith一起工作)。在自定义授权器的情况下,我通过authroization头传递令牌,我的自定义授权器验证它。
我在寻求建议,我应该继续前进,他们的利弊是什么。我能想到的是:
AWS认知:
专业人士
- AWS SDK为您处理一切,您不会在身份验证过程中犯太大错误。
- 通过IAM对AWS资源进行细粒度访问控制。
- 身份验证不需要在每个API前面添加额外的lambda函数。
缺点
- 需要在客户端特别使用AWS SDK。程序员必须将它添加到他们的工具链中,并在开发过程中加以利用。增加额外的复杂性。
- 并不真正需要对资源进行细粒度的访问控制,因为唯一需要的访问是对API网关的访问。
自定义授权程序
专业人士
- 您可以使用您想要的身份验证机制。对身份验证和授权的最终控制。
- 您可以让UI使用标准令牌(JWT)调用API,开发人员的html" target="_blank">流程保持不变。无需额外考虑AWS SDK.
缺点
- 身份验证需要大量的思考和努力来构建。
- 错过一些关键方面的机会总是存在。
- 这就像是推倒重来。Amazon已经为您做过了,为什么还要做呢。
尽管如此,我现在倾向于定制授权。在这个话题上需要建议。
共有1个答案
使用Cognito/IAM的另一个好处是,它可以保护您免受CSRF重播攻击。请求签名涉及使用时间戳。IAM将拒绝任何超过5分钟前签署的请求。
简而言之,如果可以,请避免使用自定义授权程序,并将IAM与Cognito一起使用。你会感谢你自己的。
-
在我的网络项目中,我想让用户使用用户名/密码和微软帐户登录。技术-堆栈: Asp.网络核心 角 Azure应用服务 首先,我创建了用户名/密码登录。这样地: 启动。反恐精英: 登录方式: 并通过[授权]保护我的api enpoints。到现在为止,一直都还不错。。。这很有效。 现在我想添加一个登录方法与Microsoft帐户。我使用Azure应用服务身份验证/授权(https://docs.mic
-
OAuth术语已经困扰我很久了。OAuth授权是像一些人建议的那样,还是认证? 如果我错了,请纠正我,但我一直认为授权是允许某人访问某个资源的行为,而OAuth似乎没有任何实际允许用户访问给定资源的实现。OAuth实现所讨论的都是为用户提供一个令牌(签名的,有时是加密的)。然后,每次调用都会将该令牌传递到后端服务endpoint,在后端服务endpoint上检查该令牌的有效性,这也不是OAuth的
-
在安装集群的时候我们在 master 节点上生成了一堆证书、token,还在 kubelet 的配置中用到了 bootstrap token,安装各种应用时,为了能够与 API server 通信创建了各种 service account,在 Dashboard 中使用了 kubeconfig 或 token 登陆,那么这些都属于什么认证方式?如何区分用户的?我特地翻译了下这篇官方文档,想你看了之
-
我实现了一个自定义的身份验证过滤器,效果很好。在设置会话并将身份验证对象添加到安全上下文后,我使用外部身份提供程序并重定向到最初请求的URL。 安全配置 过滤逻辑 目前,我的自定义过滤器(身份确认后)只需硬编码一个角色: 然后将该身份验证对象(上面返回)添加到我的SecurityContext,然后再重定向到所需的endpoint: SecurityContextHolder.getContext
-
我一直在努力用Spring-Security正确地实现Stomp(websocket)身份验证和授权。对于后人,我将回答我自己的问题,以提供一个指导。 Spring WebSocket文档(用于身份验证)看起来不清楚ATM(IMHO)。我无法理解如何正确处理身份验证和授权。 null 在HTTP协商endpoint上进行身份验证(因为大多数JavaScript库不会随HTTP协商调用一起发送身份验
-
嗨,伙计们,我正在开发应用程序使用spring boot和spring security在我的应用程序中进行身份验证,我使用自定义令牌,并且我能够成功地对用户进行身份验证。现在我想添加自定义授权到我的应用程序我想通过以下方式进行授权: 我的自定义userDetails服务如下: