文档首页/ API网关 APIG/ 开发指南(阿布扎比区域)/ 创建用于前端自定义认证的函数
更新时间:2024-10-09 GMT+08:00

创建用于前端自定义认证的函数

操作场景

如果您想要使用自己的认证系统对API的访问进行认证鉴权,您可以在API管理中创建一个前端自定义认证来实现此功能。在使用前端自定义认证对前端请求进行认证鉴权前,您需要先在FunctionGraph创建一个函数,通过函数定义您所需的认证信息。函数创建完后,作为自定义认证的后端函数,对API网关中的API进行认证鉴权。

本章节介绍如何将校验函数封装成一个“自定义认证”,以及封装成自定义认证过程中的操作注意事项。

图1 前端自定义认证示意图

使用自定义认证调用API的流程如下图所示:

图2 自定义认证调用API

自定义认证依赖函数服务。如果当前Region没有上线函数服务,则不支持使用自定义认证。

操作步骤

  1. 在FunctionGraph中开发函数。

    下面以python2.7语言为例,函数代码需要满足如下条件:
    • 函数代码支持三种请求参数定义,格式为:
      • Header中的请求参数:event["headers"]["参数名"]
      • Query中的请求参数:event["queryStringParameters"]["参数名"]
      • 您自定义的用户数据:event["user_data"]
    • 函数代码获取的三种请求参数与API网关自定义认证中的参数关系如下所示:
      • Header中的请求参数:对应自定义认证中参数位置为Header的身份来源,其参数值在您调用使用该前端自定义认证的API时传入
      • Query中的请求参数:对应自定义认证中参数位置为Query的身份来源,其参数值在您调用使用该前端自定义认证的API时传入
      • 您自定义的用户数据:对应自定义认证中的用户数据,其参数值在您创建自定义认证时输入
    • 函数的返回值不能大于1M,必须满足如下格式:
      {
          "statusCode":200,
          "body": "{\"status\": \"allow\", \"context\": {\"user\": \"abc\"}}"
      }

      其中,body字段的内容为字符串格式,json解码之后为:

      {
      	"status": "allow/deny",
      	"context": {
      		"user": "abc"
      	}
      }
      • “statusCode”字段为必选,函数服务正常且自定义认证函数代码符合规范时,statusCode的值则为自定义认证函数的响应码。
        • 调用自定义认证的API,当自定义认证函数的响应码为非200时,API网关认为函数服务异常,并返回错误码“500”,错误信息为“Internal server error”。
        • 调用自定义认证的API,如果自定义认证开启宽松模式,当自定义认证函数连接失败、返回“500”或者“503”时,自定义认证不会校验body字段里面的status字段,直接返回调用成功,同时从函数代码中获取到的context字段也为空。
      • “status”字段为必选,用于标识认证结果。只支持“allow”或“deny”,“allow”表示认证成功,“deny”表示认证失败。
      • “context”字段为可选,支持字符串类型键值对,键值不支持JSON对象或数组。

        context中的数据为您自定义的字段,认证通过后作为认证参数映射到API网关后端参数中,其中context中的参数名称与系统参数名称必须完全一致,且区分大小写,context中的参数名称必须以英文字母开头,支持英文大小写字母、数字、下划线和中划线,且长度为1 ~ 32个字符。

        前端认证通过后,context中的user的值abc映射到后端服务Header位置的test参数中。

    Header中的请求参数定义代码示例

    # -*- coding:utf-8 -*-
    import json
    def handler(event, context):
        if event["headers"].get("test")=='abc':
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"allow",
                    "context":{
                        "user":"abcd"
                    }
                })
            }
        else:
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"deny",
                })   
            }
        return json.dumps(resp)

    Query中的请求参数定义代码示例

    # -*- coding:utf-8 -*-
    import json
    def handler(event, context):
        if event["queryStringParameters"].get("test")=='abc':
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"allow",
                    "context":{
                        "user":"abcd"
                    }
                })
            }
        else:
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"deny",
                })   
            }
        return json.dumps(resp)

    用户数据定义代码示例

    # -*- coding:utf-8 -*-
    import json
    def handler(event, context):
        if event.get("user_data")=='abc':
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"allow",
                    "context":{
                        "user":"abcd"
                    }
                })
            }
        else:
            resp = {
                'statusCode': 200,
                'body': json.dumps({
                    "status":"deny",
                })   
            }
        return json.dumps(resp)

  2. 测试函数。在测试事件的“事件模板”中选择“apig-event-template”,根据实际情况修改后保存测试模板,单击“测试”。

    执行结果为“成功”时,表示测试成功。

    接下来您需要进入API网关界面创建前端自定义认证。

后续操作

在自定义认证中已经创建完成用于前端自定义认证的Function API,下一步您需要进入API网关中创建前端自定义认证,具体操作请参见《API网关用户指南》的“创建自定义认证”章节。