O tópico a seguir fornece orientações para a solução de erros e problemas que podem ser encontrados durante o uso dos autorizadores JSON Web Token (JWT) com APIs HTTP.
Problema: minha API retorna 401
{"message":"Unauthorized"}
Verifique o cabeçalho www-authenticate na resposta da API.
O comando a seguir usa curl para enviar uma solicitação para uma API com um autorizador de JWT que usa $request.header.Authorization como sua origem de identidade.
$curl -v -H "Authorization:token" https://api-id.execute-api.us-west-2.amazonaws.com/route
A resposta da API inclui um cabeçalho www-authenticate.
...
< HTTP/1.1 401 Unauthorized
< Date: Wed, 13 May 2020 04:07:30 GMT
< Content-Length: 26
< Connection: keep-alive
< www-authenticate: Bearer scope="" error="invalid_token" error_description="the token does not have a valid audience"
< apigw-requestid: Mc7UVioPPHcEKPA=
<
* Connection #0 to host api-id.execute-api.us-west-2.amazonaws.com left intact
{"message":"Unauthorized"}}Nesse caso, o cabeçalho www-authenticate mostra que o token não foi emitido para um público válido. Para o API Gateway autorizar uma solicitação, a declaração aud ou client_id do JWT deve corresponder a uma das entradas de público configuradas para o autorizador. O API Gateway valida client_id somente se aud não estiver presente. Quando aud e client_id estão presentes, o API Gateway avalia aud.
Também é possível decodificar um JWT e verificar se ele corresponde ao emissor, ao público e aos escopos que a API exige. O site jwt.io
Para saber mais sobre os autorizadores JWT, consulte Controlar o acesso a APIs HTTP com autorizadores JWT no API Gateway.
