我有一个Web服务,用户可以登录和依据。我想设置AWS API网关,以允许用户通过API与服务进行交互。由于系统中的用户管理/密码管理已经在系统中,因此我不希望用户转到另一个系统。
我首先查看了Cognito用户池,但我无法完全自动化用户创建/验证过程,AWS在支持票中表示,用户将不得不分别验证电子邮件。然后,他们建议使用lambda功能来设置授权。
我已经创建了一个lambda函数,并且API网关正在授权,但是看起来只有一个变量用于授权,即Identity token。如果我这样做了,我的lambda函数可以从我的服务中找到密钥有效,但对于用户而言并没有真正关联。
我所追求的是一种向用户提供我系统中的客户端ID和PASSKEY的方法(我可以生成所有这些),然后用户向API Gateway端点进行请求,并使用客户端ID和PassKey,网关将客户端ID和Passkey发送到lambda函数,该函数调用我的系统进行验证,lambda返回有效的策略,API网关然后将请求发送给我的服务,并使用客户端ID或其他一些标识符从策略中返回所以我的系统知道请求客户端。
而无需将用户带入分开系统(cognito),将是什么最佳方法?
事实证明,您的时间可能只是一天左右。您之前对自定义授权者的经历是TOKEN授权者。今天,他们注意到使用新的REQUEST授权器类型扩大了对自定义授权者的支持。新的REQUEST类型支持一个扩展的数据集用于授权请求,例如请求参数,标题,查询字符串等。查看自定义授权器类型以获取更多信息。