Mengakses sumber daya dengan API Gateway setelah masuk

Penggunaan umum token kumpulan pengguna Amazon Cognito adalah untuk mengotorisasi permintaan ke Gateway. API REST API Cakupan OAuth 2.0 dalam token akses dapat mengotorisasi metode dan jalur, seperti HTTP GET untuk. /app_assets Token ID dapat berfungsi sebagai otentikasi generik ke API dan dapat meneruskan atribut pengguna ke layanan backend. APIGateway memiliki opsi otorisasi khusus tambahan seperti JWTotorisasi untuk dan otorisasi HTTP APIs Lambda yang dapat menerapkan logika yang lebih halus.

Diagram berikut menggambarkan aplikasi yang mendapatkan akses ke a REST API dengan cakupan OAuth 2.0 dalam token akses.

Aplikasi Anda harus mengumpulkan token dari sesi yang diautentikasi dan menambahkannya sebagai token pembawa ke Authorization header dalam permintaan. Konfigurasikan otorisasi yang Anda konfigurasikan untukAPI, jalur, dan metode untuk mengevaluasi konten token. APIGateway mengembalikan data hanya jika permintaan cocok dengan kondisi yang Anda siapkan untuk otorisasi Anda.

Beberapa cara potensial agar API Gateway API dapat menyetujui akses dari aplikasi adalah:

• Token akses berisi cakupan OAuth 2.0 yang benar. Otorisasi kumpulan pengguna Amazon Cognito untuk a REST API adalah implementasi umum dengan penghalang masuk yang rendah. Anda juga dapat mengevaluasi isi, parameter string kueri, dan header permintaan ke jenis otorisasi ini.

• Token ID valid dan tidak kedaluwarsa. Saat Anda meneruskan token ID ke otorisasi Amazon Cognito, Anda dapat melakukan validasi tambahan dari konten token ID di server aplikasi Anda.

• Grup, klaim, atribut, atau peran dalam token akses atau ID memenuhi persyaratan yang Anda tetapkan dalam fungsi Lambda. Authorizer Lambda mem-parsing token di header permintaan dan mengevaluasinya untuk keputusan otorisasi. Anda dapat membuat logika kustom dalam fungsi Anda atau membuat API permintaan ke Izin Terverifikasi Amazon.

Anda juga dapat mengotorisasi permintaan ke AWS AppSync APIGraphQL dengan token dari kumpulan pengguna.