AWS API Gateway - эластичный beanstalk - ограниченный доступ

Question

У меня есть API NodeJS для Amazon EB и API API Gateway. API Gateway настраивается как прокси-сервер для EB.

Я могу назвать свой API без проблем, он работает, но я не знаю, как управлять безопасностью.

На самом деле, если я использую URL-адрес шлюза API, я должен подписать запрос (это нормально!), Но я могу использовать URL-адрес EB, и ничего не нужно.

Перед использованием API-шлюза я использовал JWT, но теперь, что мне делать в приложении Node? API Gateway использует заголовок авторизации для подписывания запроса, поэтому приложение Node должно проверить эту подпись, может быть? Или что-то другое?

Answer 1

Рекомендованный подход к ограничению доступа на задний план только к шлюзу API - это использовать сертификаты на стороне клиента. См. documentation here.

. .

Обратите внимание, что при использовании клиентских сертификатов с ELB вы должны настроить ELB в режиме tcp и прекратить соединение SSL на сервере приложений, поскольку ELB не поддерживает проверку сертификата клиента.

Альтернативный подход заключается в том, чтобы настроить ваш шлюз API для добавления заголовка с секретным значением и затем проверить значение на сервере приложений перед обработкой запроса. Это, как правило, считается менее безопасным, поскольку его легче для злоумышленника получить ваше секретное значение. Как минимум, вы захотите использовать SSL между вашим шлюзом API и сервером приложений, чтобы секрет не был отправлен простым текстом.