テクニカルスタックはフロントサイドで反応し、バックエンドはAPIGatewayとLambdaによって動作します。私は私の反応のアプリケーションでアイデンティティサービスとしてAuth0を使用しています。 Auth0によって与えられたソーシャルログインの1つで認証すると、私はaccess_token,id_tokenおよびexpiry_timeに戻ります。さらに、のようなユーザー情報をid_tokenとすることができます。今、バックエンド、つまりAPIGatewayとLambdaへのアクセスを保護/防止する必要があります。Auth0をカスタム認可者のアプローチで使用してAWS APIGatewayを認証
IAMオーソ、カスタムオーソようにAWS APIGatewayへのアクセスを保護するために多くのオプションがあります。 IAM authorizer with Auth0の使い方に関するAuth0のドキュメントがあります。カスタムオーソライザの使い方を知りたい。私は、カスタムオーソライザがどのように機能するかについての高レベルのアーキテクチャを理解しています。
1Q:ここ
は、カスタム承認者に関する私の質問です。 react auth0認証モジュールを使用することで、私はaccess_token,id_tokenおよびexpiryに戻ります。受信したaccess_tokenはJWTではありません。どのようにJWTのaccess_tokenを取得するために、私はAuthorizationヘッダーを渡すことができます。
2Q。 Auth0ダッシュボードに別のセクションAPIがあります。これは非常に混乱し、あいまいです。私の理解では、このAuth0のAPIセクションでは、Auth0サーバーへの別の呼び出しが必要であり、ソーシャルログインのアクセストークンとは異なる新しいaccess_tokenを受け取ります。なぜ反応のAuthクライアントからのアクセストークンを使用できないのですか?私は間違っているかもしれませんが、Auth0のこのAPIセクションは理解できません。
3Q。どういうわけか、認証ヘッダーにaccess_tokenを送信します。カスタム認可者のLambdaでその確認方法を教えてください。これにはいくつかのブログ記事がありますが、それぞれの投稿には異なるアプローチがあります。いくつかはid_tokenを検証に使用し、他の人はjwt packageを使用してデコードしますが、Auth0の検証コールは表示されません。
Auth0を使ってAPIGatewayを認証するブログ記事がいくつかありますが、古いか廃止予定か、いくつかのハッキングを使って承認しています。 Auth0を使用してAPIGatewayを認証する適切な方法を文書化できるなら、それは良いことです。