我做了一个自定义的lambda授权方来验证JWT并返回Allow策略。
var context = new APIGatewayCustomAuthorizerContextOutput();
var tokenUse = ExtractClaims(claims, "token_use");
context["tokenType"] = tokenUse;
var response = new APIGatewayCustomAuthorizerResponse
{
PrincipalID = "asd",
PolicyDocument = new APIGatewayCustomAuthorizerPolicy
{
Version = "2012-10-17",
Statement = new List<APIGatewayCustomAuthorizerPolicy.IAMPolicyStatement>()
{
new APIGatewayCustomAuthorizerPolicy.IAMPolicyStatement
{
Action = new HashSet<string>() {"execute-api:Invoke"},
Effect = "Allow",
Resource = new HashSet<string>() {"***"} // resource arn here
}
},
},
Context = context
};
return response;
现在,我需要在我的资源服务器上使用此标识。
问题是我在授权方上下文中提出的声明直接出现在authorizer下
"authorizer": {
"cognito:groups": "Admin", ...
}
但我Amazon.Lambda.AspNetCoreServer.APIGatewayProxyFunction期待那些authorizer.claims以下的人.
像这样:
"authorizer": {
"claims": {
"cognito:groups": "Admin", ...
}
}
我知道这一点,因为当我使用内置的 Cognito 用户池授权器时它正在工作,它正在进行这样的输入。
我设法发现不允许 Lambda 授权方将嵌套对象添加到上下文中(并测试了如果我这样做它会抛出authorizer error。
我还发现,当APIGatewayProxyFunction提取身份时,它会查看Authorizer.Claims。
因此,我需要以某种方式绕过Claims属性在我的资源服务器上提取它们,或者将嵌套对象添加到授权方响应中,这是不允许的。
怎么办?
所以我通过覆盖LambdaEntryPoint : Amazon.Lambda.AspNetCoreServer.APIGatewayProxyFunction上的PostCreateContext方法来解决这个问题。
protected override void PostCreateContext(
HostingApplication.Context context,
APIGatewayProxyRequest apiGatewayRequest, ILambdaContext lambdaContext)
{
// handling output from cognito user pool authorizer
if (apiGatewayRequest?.RequestContext?.Authorizer?.Claims != null)
{
var identity = new ClaimsIdentity(apiGatewayRequest.RequestContext.Authorizer.Claims.Select(
entry => new Claim(entry.Key, entry.Value.ToString())), "AuthorizerIdentity");
context.HttpContext.User = new ClaimsPrincipal(identity);
return;
}
// handling output from lambda authorizer
if (apiGatewayRequest?.RequestContext?.Authorizer != null)
{
var identity = new ClaimsIdentity(apiGatewayRequest.RequestContext.Authorizer.Select(
entry => new Claim(entry.Key, entry.Value.ToString())), "AuthorizerIdentity");
context.HttpContext.User = new ClaimsPrincipal(identity);
}
}
编辑:还向aws-lambda-dotnet库提交了拉取请求来解决此问题。
编辑2:我的拉取请求已经合并了一段时间,如果使用最新的Amazon.Lambda.AspNetCoreServer,这不再是问题(不确定哪个版本首先拥有它,但3.1.0肯定有它)