我有一个 REST API 端点,它根据请求的主体处理多个操作。其中一些操作是“仅限管理员”,因此我添加了一个链接到我的 Cognito 用户池的 JWT 授权方,以允许我检查用户是否是管理员。但是,现在每个请求都必须通过Authorization标头提供 JWT - 未经身份验证的请求不起作用并遇到{"message":"Unauthorized"}错误。
有什么方法可以阻止授权者阻止所有未经身份验证的流量?
问问题
64 次
1 回答
0
我通过删除授权者并仅使用 this 的修改版本在函数本身中实现 JWT 解码/验证来解决此问题。
我了解到授权者的目的是保护函数免受未经身份验证的访问,而不仅仅是解码和从 JWT 获取声明。在我的用例中,授权人是完全没有必要的。
于 2021-08-19T14:34:38.840 回答