API 网关授权方和注销（性能/安全注意事项）

为了安全起见，我不应该启用授权方缓存

如果您有严格的安全要求（例如，一旦令牌无效，所有请求都将失败），您将需要关闭授权者缓存。请参阅https://forums.aws.amazon.com/thread.jspa?messageID=703917的答案：

目前授权者缓存只有一个TTL，因此在您提供的场景中，API Gateway将继续为缓存TTL返回相同的缓存策略（生成200），无论令牌是否过期。您可以将缓存TTL调低到您觉得满意的级别，但这是在授权者级别设置的，而不是基于每个令牌。

我们已经在考虑更新自定义授权器功能，并且在迭代该功能时肯定会考虑您的反馈和用例。

这也意味着所有经过身份验证的 API 都将通过 Lambda 授权方的一次开销...

确实如此。然而，在实践中，我的团队在Lambda冷启动和ENI附件方面的努力远远超过了其他任何性能方面的努力，因此授权人增加的开销最终可以忽略不计。这并不意味着性能影响是不可测量的，但它最终会比将授权者代码直接放入Lambda中增加毫秒级的延迟，这在我们的应用程序中是有意义的。与此形成鲜明对比的是，Lambda冷启动通常需要30秒。

同样从编码的角度来看，使用难以端到端测试的授权器真的是个好主意吗？

在基于面向服务的体系结构构建的许多应用程序中，您将具有跨多个代码库的“端到端”方案，并且只能在已部署的环境中进行测试。此级别的测试显然很昂贵，因此您应该避免测试可能由较低级别（单元，集成等）测试涵盖的功能。但是，测试应用程序的内聚性仍然非常重要，而您需要此类测试的事实并不一定是 SOA 的巨大诋毁者。

我可以将 Lambda 函数作为一个单元进行测试。但对我来说更重要的是，它们连接到正确的API。目前我看不到任何方法可以让我轻松地测试它。

如果您正在考虑多个授权者，测试是否连接了正确的授权者的一种方法是让每个授权者向endpoint传递指纹。然后可以pingendpoint并让它们返回健康检查状态。

例如

[ HTTP Request ] -> [ API Gateway ] -> [ Authorizer 1 ] -> [ Lambda 1 ] -> [ HTTP Response ]
                                       Payload:                            Payload:
                                       user identity                       status: ok
                                       authorizer: 1                       authorizer: 1

在实践中，我的团队每个服务都有一个授权者，这使得测试此配置变得非关键（我们只需要确保应该受到保护的endpoint）。

另一个问题是。查看代码，我不再能轻易说出需要什么授权......我必须查看应该附加哪个授权器（例如CloudForm），然后是Lambda代码本身。

是的，这是真的，而且非常解耦的环境的性质很难在本地进行测试，这是我的团队在使用AWS基础设施时最大的抱怨之一。然而，我相信在处理AWS空间时，这主要是一条学习曲线。作为一个整体，开发社区对于AWS公开的许多概念仍然相对较新，例如代码或微服务等基础设施，因此与传统的整体开发相比，我们的工具和教育在这一领域缺乏。

这是适合您应用的正确解决方案吗？如果没有深入的分析，我无法告诉你这一点。在更广泛的社区中有很多双向的观点，但我想指出这篇文章，特别是对于列出的谬误：微服务 - 请不要。使用微服务是因为您已经为它们开发了一个可靠的用例，而不一定仅仅因为它们是计算机科学中最新的流行语。

使用授权者有什么好处吗？或者这方面的最佳实践是什么？

我的团队使用AuthN的授权器（通过定制的auth服务），并在单独的Lambda层处理AuthZ（通过不同的定制auth服务）。这对我们的架构非常有益，因为它允许我们将通常非常复杂的特定于对象的安全规则与简单的身份问题隔离开来。您的用例可能不同，我当然不会声称知道最佳实践。但是，我将向您介绍API网关授权器示例，以了解有关如何将此服务集成到应用程序中的更多想法。

祝你好运。