基于Bearer Token的REST API认证教程

本文档旨在指导开发者如何在基于AWS API Gateway和Lambda的REST API中实现基于Bearer Token的身份验证。我们将介绍三种不同的实现方式：使用代理集成、自定义集成以及Lambda Authorizer。通过详细的步骤和代码示例，帮助你选择最适合你的应用场景的方案，并确保API的安全性和可靠性。

在构建REST API时，身份验证是至关重要的一环。本文将探讨如何在AWS API Gateway和Lambda架构下，通过Bearer Token进行身份验证。我们将介绍三种不同的方法，并分析它们的优缺点，以便您选择最适合您需求的方案。

1. 使用代理集成 (Proxy Integration)

代理集成是最简单的入门方式。在这种模式下，Lambda函数负责处理整个HTTP请求和响应的生命周期。API Gateway会将完整的请求信息（包括headers）传递给Lambda函数。

优点：

• 易于实现，上手快。
• 适用于Lambda函数需要完全控制HTTP交互的场景。

缺点：

• Lambda函数需要处理HTTP协议的细节，增加了代码的复杂性。
• 业务逻辑与HTTP处理逻辑耦合在一起。

实现步骤：

1. 在API Gateway中，选择“集成类型”为“Lambda 函数代理”。
2. 在Lambda函数中，从event.headers字典中读取Authorization header。
3. 验证Bearer Token的有效性。
4. 根据验证结果返回相应的HTTP状态码和响应。

代码示例 (Python):

def lambda_handler(event, context):
    authorization_header = event.get('headers', {}).get('Authorization')

    if not authorization_header or not authorization_header.startswith('Bearer '):
        return {
            'statusCode': 401,
            'body': 'Unauthorized'
        }

    token = authorization_header.split(' ')[1]

    # 在这里验证token的有效性 (例如，查询数据库，调用认证服务)
    if not validate_token(token):
        return {
            'statusCode': 403,
            'body': 'Forbidden'
        }

    return {
        'statusCode': 200,
        'body': 'Hello World!'
    }

def validate_token(token):
    # 实际的token验证逻辑
    # 可以调用外部服务，或者查询数据库
    # 返回 True 如果 token 有效，否则返回 False
    # 这只是一个示例，需要根据你的实际认证机制进行修改
    return token == "valid_token"

注意事项：

• event.headers 中的 header 名称是不区分大小写的。
• 确保 validate_token 函数实现了正确的 token 验证逻辑。

2. 使用自定义集成 (Custom Integration) 和请求映射模板

自定义集成允许您更精细地控制API Gateway如何将请求转换为Lambda函数的输入。您可以使用请求映射模板提取header信息，并将其作为JSON对象传递给Lambda函数。

优点：

• 将业务逻辑与HTTP处理逻辑分离。
• 可以定义Lambda函数的输入结构，使其更易于使用。

缺点：

• 需要编写请求映射模板，增加了一定的复杂性。

实现步骤：

1. 在API Gateway中，选择“集成类型”为“Lambda 函数”。
2. 创建请求映射模板 (Request Mapping Template)，例如使用 application/json 类型。
3. 在模板中使用Velocity Template Language (VTL) 提取Authorization header的值，并将其放入JSON对象中。
4. 在Lambda函数中，从event对象中读取提取的token值。
5. 验证Bearer Token的有效性。
6. 根据验证结果返回相应的HTTP状态码和响应。

请求映射模板示例：

艺映AI

艺映AI - 免费AI视频创作工具

下载

{
  "token": "$input.params('Authorization').substring(7)"
}

代码示例 (Python):

def lambda_handler(event, context):
    token = event.get('token')

    if not token:
        return {
            'statusCode': 401,
            'body': 'Unauthorized'
        }

    # 在这里验证token的有效性 (例如，查询数据库，调用认证服务)
    if not validate_token(token):
        return {
            'statusCode': 403,
            'body': 'Forbidden'
        }

    return {
        'statusCode': 200,
        'body': 'Hello World!'
    }

def validate_token(token):
    # 实际的token验证逻辑
    # 可以调用外部服务，或者查询数据库
    # 返回 True 如果 token 有效，否则返回 False
    # 这只是一个示例，需要根据你的实际认证机制进行修改
    return token == "valid_token"

注意事项：

• $input.params('Authorization') 获取的是完整的 Authorization header，需要使用 substring(7) 截取掉 "Bearer " 前缀。
• 请求映射模板需要仔细编写，确保正确提取header信息。

3. 使用Lambda Authorizer (Lambda Authorizer)

Lambda Authorizer（也称为自定义授权方）是一种更高级的身份验证机制。它允许您创建一个专门的Lambda函数来验证请求的身份。API Gateway会在调用您的业务逻辑Lambda函数之前，先调用Authorizer函数。

优点：

• 将身份验证逻辑与业务逻辑完全分离。
• 可以实现更复杂的身份验证机制，例如基于角色的访问控制。
• 可以缓存授权结果，提高性能。

缺点：

• 配置和管理较为复杂。
• 需要编写额外的Lambda函数。

实现步骤：

1. 创建一个Lambda Authorizer函数。该函数接收包含Authorization header的event对象，并返回一个IAM策略，指示API Gateway是否允许该请求。
2. 在API Gateway中，配置Authorizer。
3. 将Authorizer与您的API方法关联。

Lambda Authorizer 函数示例 (Python):

import json

def lambda_handler(event, context):
    token = event.get('authorizationToken')

    if not token:
        return generate_policy('user', 'Deny', event['methodArn'])

    # 在这里验证token的有效性 (例如，查询数据库，调用认证服务)
    if not validate_token(token):
        return generate_policy('user', 'Deny', event['methodArn'])

    # 如果token有效，则返回允许访问的策略
    return generate_policy('user', 'Allow', event['methodArn'])

def validate_token(token):
    # 实际的token验证逻辑
    # 可以调用外部服务，或者查询数据库
    # 返回 True 如果 token 有效，否则返回 False
    # 这只是一个示例，需要根据你的实际认证机制进行修改
    return token == "valid_token"

def generate_policy(principal_id, effect, resource):
    auth_response = {
        "principalId": principal_id,
        "policyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "execute-api:Invoke",
                    "Effect": effect,
                    "Resource": resource
                }
            ]
        }
    }
    return auth_response

注意事项：

• Authorizer函数必须返回一个包含IAM策略的JSON对象。
• IAM策略必须指定允许或拒绝访问的资源 (resource)。
• 可以配置Authorizer的缓存时间 (TTL)，以提高性能。
• 如果使用AWS Cognito User Pools，可以直接将其配置为API Gateway的Authorizer，无需编写自定义Lambda函数。

总结：

本文介绍了三种在AWS API Gateway和Lambda架构下实现基于Bearer Token身份验证的方法。选择哪种方法取决于您的具体需求和项目的复杂程度。

• 代理集成 适合快速入门和简单的API。
• 自定义集成 提供了更好的控制和分离，适合中等复杂度的API。
• Lambda Authorizer 是最灵活和安全的方案，适合复杂的API和需要精细访问控制的场景。

无论您选择哪种方法，都请务必确保您的token验证逻辑安全可靠，并遵循最佳安全实践。