即使使用无效的 ID 令牌，具有 Cognito 授权的 AWS API Gateway 也永远不会阻止请求

如何解决即使使用无效的 ID 令牌，具有 Cognito 授权的 AWS API Gateway 也永远不会阻止请求

我关注了 this AWS API Gateway doc 并使用 cognito identity token 为我的 API 设置了授权。我在 API Gateway 控制台中测试了我的 cognito id 令牌，该令牌有效：它为我提供了正确的值，从令牌中正确检索了 sub 和 email 值：

testing the id token works

然后我将 Authorizor 添加到我的方法中：

my method request

但是，当我现在测试我的方法时，当我从 API Gateway 中的测试表单（方法内部）发送请求时，所有请求仍然会通过（无论是否提供身份令牌）：

teting with no token or invalid token

我原以为会收到“未经授权”或“拒绝访问”的响应，结果却是 200。我还尝试将 Method Request 中的“API Key Required”设置为 true 并需要一个 Autorization Header，但即使如此，来自上面的请求仍以状态 200 出现：

setting API Key Required to true

我也加了

"context" : {
        "sub" : "$context.authorizer.claims.sub","email" : "$context.authorizer.claims.email"
}

到我的映射模板，所以完整的模板现在看起来像这样：

{
    "TableName": "myUsersTable","Key": {
        "id": {"S": "$input.params('id')"},"username": {"S": "$input.params('id')"}
    },"context" : {
        "sub" : "$context.authorizer.claims.sub","email" : "$context.authorizer.claims.email"
    }
}

但是 sub 和 email 的日志总是空的（并且响应状态仍然是 200）：

Tue Dec 29 10:35:46 UTC 2020 : Endpoint request body after transformations: {
    "TableName": "myUsersTable","Key": {
        "id": {"S": "testUser"},"username": {"S": "testUser"}
    },"context" : {
        "sub" : "","email" : ""
    }
}

我在这里做错了什么？

解决方法

对我来说，当我在 API Gateway 控制台中测试它时，它从未奏效。但是当您使用 Postman 时，它应该可以工作（将 Method Request 中的“API Key Required”设置回 false 并删除需要 Autorization Header，然后再次部署您的 API 并使用 Postman 对其进行测试，将您的令牌放入请求标头中，例如这个：

您的 sub 和 email 值的映射模板似乎也正确。我认为当您使用 API Gateway 控制台进行测试时，只是跳过了整个授权验证，但我不确定。改用邮递员，然后它应该可以工作。

另见：https://medium.com/@chandupriya93/providing-authorization-to-api-gateway-with-cognito-identity-pools-af451fd3b532

即使使用无效的 ID 令牌，具有 Cognito 授权的 AWS API Gateway 也永远不会阻止请求

如何解决即使使用无效的 ID 令牌，具有 Cognito 授权的 AWS API Gateway 也永远不会阻止请求

解决方法

相关推荐