在应用编程接口网关websockets中仅授权$connect路由器是否足够?
在应用编程接口网关(API Gateway)中,仅授权$connect路由器是不足够的。API Gateway是一种用于构建、部署和管理API的服务,它充当了前端和后端之间的中间层,提供了一系列功能,包括身份认证、授权、请求转发和数据转换等。
对于WebSockets,$connect路由器只是WebSockets连接的起始点,用于建立与客户端的连接。但在实际应用中,我们通常还需要对连接进行身份认证和授权,以确保只有经过验证的用户才能访问特定的资源或执行特定的操作。
因此,除了$connect路由器外,还需要配置其他路由器来处理身份认证和授权。常见的做法是使用自定义授权函数(Custom Authorizer)或使用AWS Cognito等身份认证服务来验证用户身份,并根据用户的权限决定是否允许连接和执行特定操作。
总结起来,对于WebSockets,仅授权$connect路由器是不足够的,还需要配置其他路由器来处理身份认证和授权,以确保安全性和权限控制。
腾讯云相关产品推荐:
- 腾讯云API网关:提供全托管的API网关服务,支持WebSockets和其他协议,具备高可用性和弹性伸缩能力。详情请参考:腾讯云API网关
- 腾讯云COS:对象存储服务,可用于存储和管理WebSockets相关的数据。详情请参考:腾讯云对象存储(COS)
- 腾讯云云函数(SCF):无服务器计算服务,可用于处理WebSockets连接和消息的业务逻辑。详情请参考:腾讯云云函数(SCF)
相关·内容
我使用的是由api网关和lambdas驱动的websocket api。我需要实现自定义授权器(即检查由我们的自定义解决方案创建的用户令牌的lambda函数)。我只需要授权$connect请求,并假设所有后续消息和断开连接请求都是安全的,并且来自同一用户,这对吗?我一直在努力思考这里的缺点,我想出的唯一一个是我们的令牌是短暂的,即它们在15分钟后到期并续订,我们可以在应用程序中存在用户连接时间超过15分钟的情况。因此从理论上讲,wee
浏览 24提问于2020-11-26得票数 0
回答已采纳
我们正在尝试提出一个微服务架构,在这个架构中,我们需要确定在微服务级别实现授权是否是一个好的实践,而我们已经在网关级别实现了该级别的授权。我们使用KONG作为应用编程接口网关,它将与KeyCloak进行交互以进行授权。授权成功后,在资源级别应用全局筛选器来验证在标头中传递的JWT令牌是否真的正确。也许性能会受到影响,但我不确定这
浏览 19提问于2021-08-15得票数 1
在“用于为wso2安全构建生态系统的API白皮书”中,提出的模式仅基于源服务器和授权服务器运行在不同域中的用例,而不是我的用例:
在我的用例中,我想要一些简单的东西(SAML、SOAP或XACML PDP我的接口网关验证client_ Id /secret_id,验证登录/密码后,向我的OAuth授权服务器(API Id服务器)请求Access_Token/Refresh_Token。API网关<
浏览 2提问于2018-01-30得票数 0
我有一个微服务应用程序,其中一个功能需要使用WebSockets。浏览器连接到API网关,然后API网关需要将WebSocket请求转发到相应的微服务。为了实现这一点,在API网关中使用了Spring的StandardWebSocketClient。应用编程接口网关充当WebSocket请求的代理。我的应用程序使用OAuth进行身份验证,因此当在API网关中代理WebSocket请
浏览 5提问于2018-05-15得票数 3
1回答
我在AWS上部署了REST API网关,并将其配置为http直通我的网站。当我在浏览器中打开API网关终结点时,它将显示我预期的网站。现在,我将使用cognito对API网关端点进行身份验证,并通过以下指令对其进行配置:
我所期望的是,当在浏览器中打开API网关端点时,它会打开认知器弹出对话框,要求输入用户名和密码。但我可
浏览 2提问于2021-03-13得票数 0
1回答
Cognito授权程序组
、、、
我在Angular中有一个单页应用程序,一个带有Lambda的API网关用于后端服务,Cognito用户池用于身份验证和授权。
对某些API终结点的访问取决于用户角色。但是,在调用API之前,使用Cognito作为API Gateway的Authorizer仅检查用户是否经过了身份验证(通过在Authorization头中传递ID令牌,在成功登录后,此令牌将从Cognito有没有一个好的方法,授权我的web用户,根据
浏览 0提问于2021-04-13得票数 0
1回答
我目前有一个应用编程接口通过我们的应用程序接口网关,其中有多个自定义授权- LiveAuthorizer和TestAuthorizer。
我想根据被访问的阶段来更改我的自定义授权器,就像阶段变量一样。PS -我知道这可以在Lambda函数中进行身份验证,我只是好奇是否有其他方法(类似于阶段变量)。
浏览 15提问于2017-02-14得票数 3
回答已采纳
在当前的python应用程序中,我想重新设计,我正在使用gunicorn与nginx一起使用。现在,当我们转向云的时候,它让我想到:我真的需要nginx还是其他的web服务器?在我们的云体系结构中,我们将使用一个API网关,通过该网关我们计划:
另外,api-网关只是web服务器的另一个别致的名称
浏览 0提问于2019-03-22得票数 10
我想创建一个Api网关路由,它通过服务代理连接到s3。
只有具有特定权限(存储在DynamoDb表中)的经过身份验证和授权的用户(来自Cognito Userpool)才能上传文件。由于我没有使用S3作为服务代理,也没有使用lambda,那么可以在Custom Authorizer lambda中对Dynamodb进行代码检查吗?( token验证通过后,发送成功回调前)。查询很简单,根据Cognito用户的惟一Id,我在一个表中检查该用户是否
浏览 1提问于2017-06-05得票数 0
在使用Laravel Vapor时,我第一次尝到了无服务器的滋味,这是一种警告。该接口用来允许前端进行身份验证的authorization头部正在被重新映射为x-amzn-remapped-authorization。这带来了一个挑战,即我应该在应用程序的哪个部分清理它,因为很多前端和底层身份验证包使用authorization头而不是x-amzn-remapped-authorization。
浏览 5提问于2020-01-22得票数 2
我正在尝试构建一个API网关,它还可以将调用聚合到多个API中。我也希望有自动生成的Swagger,所以我想结合Ocelot的授权和速率限制的能力,但也希望能够创建边缘自定义应用编程接口的.NET代码,以处理应用编程接口调用的转换和组合。Ocelot是否只将下游API作为单独的应用程序使用?我正在努力避免仅存在于mashup和复合API调用的额外跃点。
浏览 21提问于2019-07-10得票数 1
回答已采纳
API网关在将请求传递到API之前验证承载令牌。
我的应用程序接口使用asp.net核心2.0本地身份验证和基于声明的授权框架。从JWT令牌获取声明的繁琐工作是由Microsoft.AspNetCore.Authentication.JwtBearer中的中间件完成的。此中间件可以配置为忽略令牌上的到期日期,也可以指定本地公钥,因此不需要联系令牌授权机构来获得一个,但是否可以仅禁用令牌上的签名验证?这将允许在开发中使用未签名的令牌进行
浏览 4提问于2018-04-20得票数 21
回答已采纳
2回答
亚马逊网络服务附带了一个名为Application Load Balancer的服务,它可以触发一个lambda函数。调用这种lambda函数的方法是向ALB发送HTTP/HTTPS请求。
浏览 7提问于2019-07-01得票数 34
1回答
我正在创建多线程应用程序,这将作为“路由器”,但在应用层。该软件将运行在具有多个网络接口的多个主机上。在我的应用程序中,一个线程运行服务器,它接受每个接口上的每个连接,并将其传递给另一个工作线程,后者决定消息是否会被转发,以及应该使用哪个接口。
我决定使用boost-asio。因此,总结一下:传入的消息只在服务器中(这里只有读取功能),通过不同的网关(仅<
浏览 1提问于2018-03-07得票数 1
回答已采纳
我已经建立了一个使用WebSocket协议的API网关。在'$connect‘路由请求设置中,我选择了'AWS_IAM’作为授权方法。web应用程序需要在用户通过WebSocket登录后与此Cognito建立连接。那么,如何在web应用程序上授权来自JavaScript的WebSocket应用程序接口请求?但是我不能在WebSocket请求中传递头部。
浏览 60提问于2020-01-29得票数 5
回答已采纳
1回答
我必须收到一封邮件,说明用户在我的网站表单中输入的所有详细信息。此邮件应在用户提交表单后发送。
我正在使用reactjs和aws,所以我研究了可以使用aws SES来完成。但是不知道该怎么做。
浏览 0提问于2021-02-04得票数 1
我正在AWS中构建一个cognito用户池+ API网关解决方案。现在,配置已完成,但令牌不起作用。这是我测试的方法, 我使用的是API端点 https://mydomain/login?gZk1CICvjFEi7VCH0tvN9JVe8baSHm2GL1jaTeoUeE0jmGPGxGc-7fDBY37JjPbnPiHDZlm3D8eGE1AhO5qI3rng&expires_in=3600&token_type=Bearer 我在https但是,当尝试在API网关<
浏览 52提问于2020-07-05得票数 2
我们有架构模式(分层DMZ),其中: 1.面向外部的应用程序部署在3层DMZ中(DMZ1用于Web服务器,DMZ2用于应用程序服务器,DMZ3用于数据库服务器) 2.我们不允许DMZ1直接与局域网通信,但DMZ2、DMZ3可以与局域网通信选项1:在第三方可以访问的DMZ1中<
浏览 7提问于2019-12-11得票数 1
我最近一直在研究改进当前的设置,并注意到API Gateway中的"Custom Domain Names“选项。
据我所知,使用它会创建一个不可配置的CloudFront实例。
浏览 17提问于2017-12-28得票数 1
回答已采纳
1回答
路由器两侧的hsrp
、、、、
我尝试创建一个简单的网络拓扑来测试"server2“和"server3”的热备用路由器协议网关,其体系结构如下图所示。📷在这种拓扑结构中,我应该在router7和router8的接口0/0/1(192.168.1.0网络)上配置一个HSRP组,并在HSRP组是指某些路由器的某些接口( R7和R8的G0/0/0)吗?或者它意味着包括整个
浏览 0提问于2019-01-09得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
