问题标签 [aws-jwt-authorizer]

• 谷歌令牌中的发行者是：“accounts.google.com”

• 但是 jwt-authorizer 配置需要一个发行者 url，前面带有“https://”

这意味着授权人永远不会接受 google 令牌，因为缺少令牌 iss 声明：https

有人解决了这个问题吗？

在我看来，AWS API-Gateway 上的 HTTP-api 中的 JWT 授权者不支持将“任何客户端”添加为允许的受众。

如果您想将它用于添加大量客户端的 API，这将变得很痛苦。

我是否遗漏了某些东西（配置中的星号或某些东西），或者 JWT 授权者不能支持在 IAC 之外动态添加/删除客户端的情况？

我在尝试为 WebSocket API 设置 lambda 授权时遇到问题。

无服务器.yml

在前端，我想发送一个 tokenId 或 accessToken 以在授权者中使用

你们可以给我一个示例代码，使用 python 为我的 websocket api 创建一个 lambda 授权器。

我目前正在看这些文章：https ://github.com/awslabs/aws-support-tools/blob/master/Cognito/decode-verify-jwt/decode-verify-jwt.py

我今天大部分时间都在尝试让授权者工作，我检查了多个示例，它们似乎都在做我的代码所做的同样的事情。

我使用无服务器框架，这是授权代码：

这是无服务器配置

}...

当令牌正确并且我返回对象时，我总是得到 500 响应，所以我猜返回对象有问题？

如果令牌不正确并且我抛出“未经授权”，那么我会得到正确的 401 响应。

我需要保护我的 s3 存储桶对象。在我的 Web 应用程序中，我使用 aws-sdk 将媒体上传到 s3 存储桶并获取 http 链接以访问该对象。这个 http 链接默认是公开的，我想让它安全，这样只有授权用户才能访问媒体。aws s3 允许将对象设为私有，但它不会让任何拥有链接的人访问该对象。

将从我不想使用 aws-sdk 的移动应用程序访问此链接，相反，每当有人尝试访问对象的 http 链接时，我想在 aws 端执行一些逻辑。

我想要发生的是，在用户访问 s3 对象之前，一些授权代码将执行（如 jwt 令牌授权），并且根据它，用户将被授予/拒绝访问。

我目前正在研究 Amazon API 网关，我相信它们可以作为 http 链接访问，并且 AWS Lambda 可用于保护它们（我将在其中执行我的 jwt 授权者）。然后这些 api 将可以在内部访问 s3。

如果有人能指出我正确的方向，如果这是可能的话。如果我可以使用从我的 Web 应用程序发出的相同 jwt 令牌将请求发送到 Amazon API Gateway，那就太好了。

我有一个 REST API 端点，它根据请求的主体处理多个操作。其中一些操作是“仅限管理员”，因此我添加了一个链接到我的 Cognito 用户池的 JWT 授权方，以允许我检查用户是否是管理员。但是，现在每个请求都必须通过Authorization标头提供 JWT - 未经身份验证的请求不起作用并遇到{"message":"Unauthorized"}错误。

有什么方法可以阻止授权者阻止所有未经身份验证的流量？

我有一个使用此模板定义的 API Gateway Rest Api 资源：

并且openapi-spec.yaml （基于此示例）的内容是：

我希望能够在多个环境/帐户中部署这个模板，并且拥有这个硬编码的 providerARN 会限制这一点。所以我的问题是：

如何providerARNs动态传递字段的值？

如果无法做到这一点，那么是否有任何解决方法，这样我就不必在这里对 providerArns 进行硬编码？

注意：已经尝试使用阶段变量，但它们似乎在这里不起作用。

这是我第一次在 lambda jwt-authorizer 上运行，所以这可能是一件非常微不足道的事情，但是......

我已经在 AWS Lambda 和 API Gateway Authorisers 测试台中测试了 lambda 授权器。两个测试都成功了，但是当我尝试在方法请求中保护 api 端点时，只有 AWS_IAM 授权可用，有人知道我哪里出错了吗？

aws HTTP API 网关中的 JWT 授权方是否会缓存公钥以避免重复调用授权服务器？