通过自定义授权器方法使用Auth0授权AWS APIGateway
技术栈在前端是reactJS,后端由APIGateway和Lambda供电。我正在使用Auth0作为我的react应用程序中的身份服务。通过Auth0提供的一个社交登录进行身份验证时,我会返回access_token、id_token和expiry_time。此外,我可以使用id_token获取用户信息,例如emailid。现在,我需要保护/阻止对我的后端即APIGateway和lambda的访问。
有很多选项来保护对AWS APIGateway的访问,如IAM授权器、自定义授权器。有一个Auth0文档说明如何将IAM authorizer与Auth0一起使用。我想知道,如何使用自定义授权器。我了解自定义授权程序如何工作的高级体系结构。
3Q.假设我以某种方式在授权头中发送access_token,我如何在自定义授权器的lambda中验证它。有几篇关于这个的博客文章,但每篇文章都遵循不同的方法。有些使用id_token进行验证,有些使用jwt package进行解码,但我没有看到对auth0的验证调用。
有一些关于用Auth0授权APIGateway的博客文章,但它们要么是旧的/不推荐使用的,要么是使用一些黑客来授权它。如果我们能够记录使用auth0授权APIGateway的适当方法,那将是很好的。
共有1个答案
在与Auth0支持团队进行了一次交谈后,我找到了上述问题的答案。下面是详尽的指南,它解释了使用自定义授权器进行APIGateway和Auth0集成。https://github.com/lakshmantgld/auth0-apigateway-customauthorizer
-
我目前正在使用Spring Security开发Spring Boot REST应用程序。我的工作场所使用Auth0(提供用户管理的外部第三方服务)进行身份验证,并已要求我在此应用程序中实现它。身份验证发生在用React编写的前端应用程序中。前端应用程序显示登录表单,并将用户名和密码发送给Auth0,Auth0验证凭据,并在验证用户时返回JWT令牌。 在此之后,前端应用程序将通过头中的JWT令牌从
-
功能说明 目睹直播提供了一系列的授权观看方式,如密码验证,付费观看等,然而由于客户业务的多样性,实现如:接入客户自身账户体系,登陆OA系统后再跳转到目睹观看直播等一系列更高级的授权观看方式,此时就需要使用自定义授权。 自定义授权逻辑图 功能设置 首先,需在 某个频道 - 频道管理 - 授权观看 - 授权类型 中点击自定义授权,并输入您希望在观众进入观看页时跳转的链接,如: http://your-
-
null 我尝试将@priority(interceptor.priority.platform_beform)和@prematching也放入我的过滤器中,但即使是在OIDC启动后也会调用。 另外,是否有任何方法支持扩展quarkus oidc逻辑以包括自定义代码? 我无法获得oidc和keycloak-auth拦截器的优先级(知道这些可以帮助我决定过滤器的优先级)。请帮忙。
-
http://${host}:${port}/auth/realms/${realm_name}/authz/protection/resource_set 但是我没有看到一个API来CRUD授权策略和权限。 我试图通过protection/resource_setendpoint创建策略,但失败了:
-
对于Kinesis流,我使用AWSAPI网关创建了一个代理API。我为代理添加了一个使用python Lambda的自定义授权器。在发布lambda函数和部署API之后,我能够使用网关测试功能成功地测试API。我可以在cloudwatch中看到日志,其中包含来自自定义auth lambda函数的详细打印。成功身份验证后,API网关将记录推送到我的Kinesis流 但是当我从Chrome Postm
-
我用的是角度和节点。js与Auth0一起登录。我正在使用《快速入门指南》启动API。这是我使用Auth0 API的后端。 使用Auth0通用登录登录后,我会尝试访问我的后端,查看我是否获得授权。 这是检查我是否被授权的代码。 注意,我没有传递任何东西(我想我需要传递,但Auth0指南没有告诉我)。 在检查我是否被授权后,我得到一个错误,没有找到授权令牌。不知道我在这里干什么。我的后端是否未正确连接