5

我正在尝试缓存授权方 lambda 在第一次验证 JWT 令牌时返回的 IAM 策略。我已在 API Gateway Authorizer 中启用并将其设置authorizerResultTtlInSeconds3500秒。但是,我仍然看到在缓存时间范围内发送到 Authorizer lambda 函数的请求。

我的 node.js 脚本如下:

const jwt = require('jsonwebtoken');
const jwksClient = require('jwks-rsa');

const keyClient = jwksClient({
    jwksUri: process.env.JWKS_URI
})

const allow = {
    "principalId": "user",
    "policyDocument": {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Action": "execute-api:Invoke",
                "Effect": "Allow",
                "Resource": process.env.RESOURCE // RESOURCE = *
            }
        ]
    }
}

const unauthorized = {
    "error": "Unauthorized",
}

//excluded verificationJWTOptions object and getSigningKey function for simplicity
function validateJWTToken(token, callback) {
    jwt.verify(token, getSigningKey, verificationJWTOptions, (error) => {
        if (error) {
            callback(unauthorized)
        } else {
            callback(null, allow)
        }
    })
}

exports.handler = (event, context, callback) => {
    const token = extractTokenFromHeader(event);
    validateJWTToken(token, callback);
}

不知道我错过了什么。任何帮助将非常感激!

4

1 回答 1

6

我发现我没有正确测试 API Gateway Authorizer 缓存逻辑。我一直在测试各种场景,在这里发现了两种情况:

  • 令牌有效时:调用 an 时endpoint,请求会发送到 Lambda 授权方,该授权方会验证/使令牌无效。IAM 策略由函数返回给 API Gateway Authorizer 并被缓存(在本例中为 for 58 minutes, 20 seconds)。

    中指定的头部名称Token Source成为缓存键,授权者生成的授权策略成为缓存值。API 网关将检查Token Source. 如果 header 的 value 与 key 匹配,API Gateway 将不会调用 Lambda Authorizer,而是会根据配置的TTL.

    如果在缓存时间范围内生成了新令牌,则会再次调用 Lambda 授权方并缓存此令牌。因此,如果使用这两个令牌调用端点,则不会对 Lambda 授权方进行调用,因为这些令牌的 IAM 策略已经在给定的缓存时间范围内缓存,并且返回响应。

  • 当令牌无效时:例如,如果令牌对30 minutesfrom11:00:00AM到有效11:30:00AM,并且缓存TTL设置为58 minutes。客户端使用该令牌发出 2 个 API 请求,一个在11:29:59AM,另一个在11:31:3APM- 然后两个请求都将被接受,尽管第二个请求使用了过期的令牌。这基本上意味着JWT token缓存被扩展TTL

于 2020-03-02T14:07:15.037 回答