|
1
2
目前API网关不支持私有URL,因此它将公开可用。
如果您使用自己的身份验证机制,那么可以编写一个单独的Lambda函数来验证令牌。可以在API网关上使用http侦听器名称指定此Lambda函数名,以访问自定义令牌来验证请求。 为了控制授权用户的API使用,使用API密钥是目前AWS特有的唯一方法。 由于您将S3用于react应用程序托管,因此可以通过使用 AWS WAF CloudFront位于应用程序堆栈的前面。API密钥可以添加到CloudFront头以转发到您的APIGateway源站,并且由于CloudFront和APIgatuate通信使用SSL进行,因此几乎不可能有人找到API密钥。使用AWS WAF可以限制常见攻击的恶意访问。这包括基于速率的阻塞,以限制用户重复调用API。 |