AWS Identity Management在“代表”用户向API进行身份验证时是否有“代表令牌”的概念?我认为这是OAuth2.0协议的关键部分。我在任何AWS文档中都找不到有关此的任何资源。如果一个人使用AWS IAM,比如说,lambdas,这是为你考虑的吗?(即,使用令牌在服务之间进行安全身份验证)
hgtggwj01#
微软的代表流基于用户Assert,在RFC7523中定义。这是对核心OAuth 2 0规范的扩展。AWS Cognito目前不支持此标准。更常见的技术是在API之间简单地转发JWT访问令牌。然后,每个API检查预期的发布者和受众,以及其所需的范围。使用lambdas时,这一点没有得到考虑,因为AWS无服务器技术只在AWS API网关中验证访问令牌。作为一种替代选择,可以使用JWT库(例如在中间件类中)在每个lambda中遵循零信任模型。My code example显示了一种实现此目的的方法。
1条答案
按热度按时间hgtggwj01#
微软的代表流基于用户Assert,在RFC7523中定义。这是对核心OAuth 2 0规范的扩展。AWS Cognito目前不支持此标准。
更常见的技术是在API之间简单地转发JWT访问令牌。然后,每个API检查预期的发布者和受众,以及其所需的范围。
使用lambdas时,这一点没有得到考虑,因为AWS无服务器技术只在AWS API网关中验证访问令牌。作为一种替代选择,可以使用JWT库(例如在中间件类中)在每个lambda中遵循零信任模型。My code example显示了一种实现此目的的方法。