AWS APIGateway Custom Authorizer入門 | フューチャー技術ブログ
こんにちは。TIG/DXユニットのLEEです。フューチャーではここ数年、主に認証認可関係の設計や開発などを担当しております。 今回は流行りの認証プロトコルであるOpenID ConnectとOAuth2.0におけるAuthorizerについて話そうと思います。 Authorizerとは AuthorizerとはAWS APIGatewayにある機能の一つで、外からAPIサーバに送られてくるリクエストを検証することにより、アクセスを制御する機能です。OAuth2.0のプロトコルにおいては、AuthorizerはJWTなどTokenを検証することで、APIサーバ、つまり ResourceServer を保護する役割を持っています。 OSSのAPIGatewayであるKongを触ったことがある方ならば、JWT Pluginとほぼ同じ立ち位置のものと思って構いません。 なぜ使うのかSinglePa
Amazon API Gatewayの新機能「HTTP API」のJWT Authorizersを理解する #reinvent | DevelopersIO
ペイロードの中身にユーザー情報が含まれているので、どのようなユーザーのIDなどをトークンから取得できるようになっています。トークンからユーザー情報を引けるのは非常に便利ですが、トークンが確実に信用できるものでなければいけません。そこでヘッダーとペイロードの情報を使って、正規に署名されたものかどうか検証できるようになっています。 署名の検証は、JWT発行側が用意する公開鍵を使って行います。jwks_uri として公開することになっており、例えばGoogleからは以下のようなJSONが取得できます(JWK Setと言います)。 { "keys": [ { "kid": "57b1928f2f63329f2e92f4f278f94ee1038c923c", "e": "AQAB", "kty": "RSA", "alg": "RS256", "n": "1Zi0-4bNwZ7gGefz17U2N
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
