🚀 AWS API Gateway 与 Lambda 实现精细化授权
在构建云原生架构时,安全永远是第一要务。使用 Lambda Authorizer (原 Custom Authorizer) 可以实现极其灵活的鉴权逻辑。 ✨
1. 工作原理 ⚙️
API Gateway 在请求转发给后端之前,会先将 Header、Query String 等信息传给 Lambda。Lambda 对其验证后,返回一个 IAM Policy,决定该请求是否被允许。 ✅
- Token-based: 适合 OAuth/JWT 校验。 🔐
- Request-based: 适合需要检查整个请求参数(如路径、Body)的复杂场景。 🔍
2. 核心实施步骤 🛠️
- 创建 Lambda 函数: 编写鉴权逻辑,确保返回正确的 JSON 结构(包含
policyDocument)。
- 配置 API Gateway: 在 Authorizers 选项卡中关联该 Lambda,并选择 token 来源。
- 绑定资源: 在 Method Request 设置中,将 Authorizer 应用到特定的 API 端点。 🔗
3. Lambda 鉴权逻辑示例 💡
以下是核心逻辑示意:如果 Token 有效,则返回允许访问的 Policy,否则抛出异常。
// 判断 token 逻辑
if (token === "my-secret-key") {
return {
principalId: "user-123",
policyDocument: {
Version: "2012-10-17",
Statement: [{ Action: "execute-api:Invoke", Effect: "Allow", Resource: "*" }]
}
};
} else {
throw new Error("Unauthorized"); // 返回 401
}
4. 为什么选择这种方式? 🌟
- 精细化: 可以直接根据用户的角色(Role)或属性(Attribute)动态控制权限。 🎯
- 解耦: 鉴权逻辑与业务逻辑分离,多服务共享一套鉴权中心。 🧩
- 缓存机制: API Gateway 支持鉴权结果缓存,显著降低 Lambda 调用成本。 💰
💡 提示: 记得开启 API Gateway 的日志监控,便于快速定位 403 Forbidden 错误!祝开发顺利!🎉
