在AWS中,我构建了一个调用Lambda函数的API网关。用户通过登录到与 Cognito 联合身份池关联的 Cognito 用户池获得访问权限,并且关联的 IAM 角色包含 API 调用权限。API 网关方法是 POST 请求。
如果我使用用户池作为 API 网关的授权方,我能够通过我的 javascript Web 应用程序中的 ajax 请求成功触发 Lambda 函数 - 但请注意,这会向池中的每个用户授予相同的访问权限。我正在尝试为不同的方法创建不同的基于 Cognito 用户组的访问权限,并且由于在使用 Cognito 用户池作为授权方时,我显然无法为每种方法指定不同的用户组,我现在正在查看是否可以使用 AWS_IAM 作为 API 授权方来保护 API。但是,如果我选择 AWS_IAM 作为授权方,我会得到:
请求的资源上不存在"访问控制允许源"标头。因此,不允许访问源"空"。响应具有 HTTP 状态代码 403。
可能有什么问题?如何针对此场景正确设置 CORS,我的 ajax 请求在客户端 javascript 中应该是什么样子?cognito 是否负责为我签名,或者我需要对标头执行某些操作?
当我使用Cognito用户池时,我有:
$.ajax({
method: 'POST',
url: _config.api.invokeUrl + '/savesurv',
headers: {
Authorization: authToken
},
data: JSON.stringify(Data),
contentType: 'application/json',
success: callback,//console.log("complete"),
error: function ajaxError(jqXHR, textStatus, errorThrown) {
console.error('Error requesting save: ', textStatus, ', Details: ', errorThrown);
console.error('Response: ', jqXHR.responseText);
alert('An error occured when requesting to save:n' + jqXHR.responseText);
}
});
这在这种情况下有效,使用AWS_IAM作为 API 网关的授权时是否需要更改它?
这里的问题是,当您更改为使用AWS_IAM作为 API Gateway 方法的授权方时,请求现在必须包含特定的 Amazon 标头,而不仅仅是您指定的Authorization标头。
这称为签名的 Sigv4 请求,有关如何创建请求的更多信息,请参阅此处:
https://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
因此,要回答您的问题,Cognito 不会负责签名,您必须执行其他步骤,或者获取一个框架来为您处理。
我的工作方式是使用 Amplify (https://aws-amplify.github.io/( 生成我的 API 请求,这个框架将负责为您签署请求。
我很欣赏这是一个相当高水平的答案,但在这里进入 Amplify 对于您的问题来说有点偏离主题。
值得注意的是,如果您使用诸如 https://jwt.io/之类的工具解码您的 JWT ID 令牌(您作为authToken传递的令牌(,它包含您的用户所在的组的详细信息,这些组可能会为您提供一些工作。我假设 API 网关将验证令牌的真实性,以便您可以依赖它包含的值。然后在 API 网关中,您可以访问此详细信息。