問題タブ [api-gateway]

Execution roleAPI ゲートウェイの AWS サービス統合構成で、実行中のユーザーからポリシーのアクセス許可を継承することは可能ですか。

現在、API auth にカスタムオーソライザーを使用しています。このオーソライザーは、出力としてポリシードキュメントを返しますstatementOne.Action = 'execute-api:Invoke'。API Gateway を S3 などの他の AWS サービスと統合するときに、API が持つアクセス許可を制限または増やすことは可能ですか?

たとえば、API Gateway S3 プロキシを備えたカスタムオーソライザーを設定し、条件付き IAM ポリシーを設定して、userId ( 経由で設定principalId) のみが userId のプレフィックスが付いた S3 オブジェクトを取得できるようにすることはできますか???

hereから取得した AWS ドキュメントのこの画像の実行ロールを参照してください。

アクセス キー、シークレット キー、および API キーを使用して、IAM で保護された API ゲートウェイを使用しています。以前は次のようにsdkを使用していました：

これはうまくいきます。

私の質問は、Android ボレー ライブラリ (StringRequest/JSONObjectRequest) で SDK を使用する方法です。aws 認証署名を手動で計算してヘッダーに追加するのではなく、sdk を使用したいと考えています。

注: 応答をマッピングしていないため、AWS が推奨する出力モデルを使用したくありません。

前もって感謝します。

ダウィット

JWT 認証プラグインを備えた Kong API ゲートウェイを使用してサンプル アプリケーションを実装しています。

このスレッドで参照されているように、ブラウザに JWT を保存するには 2 つの方法があります。Web ストレージまたは Cookie。ただし、Web ストレージ (つまり、セッション ストレージとローカル ストレージ) は、クロスサイト スクリプティング攻撃 (XSS) に対して脆弱になる可能性があります。したがって、他のオプションはクッキーです。（CSRFは気をつけなければなりませんが）

質問が 2 つあります。

1. Web ストレージを使用して JWT を保存する場合、XSS を停止する方法はありますか。はいの場合、同じページが新しいタブで開いているか、同じページをリロードすると、どのように機能しますか?

2. Cookie の使用: リクエストで Cookie を送信できます。しかし、KONG は、JWT がヘッダー( Authorisation: Bearer token) に設定されている場合にのみエンド ポイント URL を認証しており、Cookie を使用して認証していません。KONG API Gateway を使用して Cookie に設定されている JWT を確認する方法はありますか?