创建用于前端自定义认证的函数

操作场景

如果您想要使用自己的认证系统对API的访问进行认证鉴权，您可以在API管理中创建一个前端自定义认证来实现此功能。在使用前端自定义认证对前端请求进行认证鉴权前，您需要先在FunctionGraph创建一个函数，通过函数定义您所需的认证信息。函数创建完后，作为自定义认证的后端函数，对API网关中的API进行认证鉴权。

自定义认证包括前端自定义认证与后端自定义认证，前端自定义认证指APIG利用校验函数对收到的API请求进行安全认证，后端自定义认证指API后端服务利用校验函数，对来自APIG转发的API请求进行安全认证。

本章节介绍如何将校验函数封装成一个“自定义认证”，以及封装成自定义认证过程中的操作注意事项。

图1 前端自定义认证示意图

使用自定义认证调用API的流程如下图所示：

图2 自定义认证调用API

自定义认证依赖函数服务。如果当前Region没有上线函数服务，则不支持使用自定义认证。

操作步骤

1. 在FunctionGraph中开发函数。
   下面以python2.7语言为例，函数代码需要满足如下条件：

   • 函数代码支持三种请求参数定义，格式为：
     • Header中的请求参数：event["headers"]["参数名"]
     • Query中的请求参数：event["queryStringParameters"]["参数名"]
     • 您自定义的用户数据：event["user_data"]
   • 函数代码获取的三种请求参数与API网关自定义认证中的参数关系如下所示：
     • Header中的请求参数：对应自定义认证中参数位置为Header的身份来源，其参数值在您调用使用该前端自定义认证的API时传入
     • Query中的请求参数：对应自定义认证中参数位置为Query的身份来源，其参数值在您调用使用该前端自定义认证的API时传入
     • 您自定义的用户数据：对应自定义认证中的用户数据，其参数值在您创建自定义认证时输入
   • 函数的返回值不能大于1M，必须满足如下格式：

     {
         "statusCode":200,
         "body": "{\"status\": \"allow\", \"context\": {\"user\": \"abc\"}}"
     }

     其中，body字段的内容为字符串格式，json解码之后为：

     {
     	"status": "allow/deny",
     	"context": {
     		"user": "abc"
     	}
     }

     “status”字段为必选，用于标识认证结果。只支持“allow”或“deny”，“allow”表示认证成功，“deny”表示认证失败。

     “context”字段为可选，只支持字符串类型键值对，键值不支持JSON对象或数组。

     context中的数据为您自定义的字段，认证通过后作为认证参数映射到API网关后端参数中，其中context中的参数名称与系统参数名称必须完全一致，且区分大小写，context中的参数名称必须以英文字母开头，支持英文大小写字母、数字、下划线和中划线，且长度为1 ~ 32个字符。前端认证通过后，context中的user的值abc映射到后端服务Header位置的test参数中。

   Header中的请求参数定义代码示例：

   # -*- coding:utf-8 -*-
   import json
   def handler(event, context):
       if event["headers"].get("test")=='abc':
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"allow",
                   "context":{
                       "user":"abcd"
                   }
               })
           }
       else:
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"deny",
               })   
           }
       return json.dumps(resp)

   Query中的请求参数定义代码示例：

   # -*- coding:utf-8 -*-
   import json
   def handler(event, context):
       if event["queryStringParameters"].get("test")=='abc':
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"allow",
                   "context":{
                       "user":"abcd"
                   }
               })
           }
       else:
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"deny",
               })   
           }
       return json.dumps(resp)

   用户数据定义代码示例：

   # -*- coding:utf-8 -*-
   import json
   def handler(event, context):
       if event.get("user_data")=='abc':
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"allow",
                   "context":{
                       "user":"abcd"
                   }
               })
           }
       else:
           resp = {
               'statusCode': 200,
               'body': json.dumps({
                   "status":"deny",
               })   
           }
       return json.dumps(resp)

2. 测试函数。在测试事件的“事件模板”中选择“apig-event-template”，根据实际情况修改后保存测试模板，单击“测试”。

   执行结果为“成功”时，表示测试成功。

   接下来您需要进入API网关界面创建前端自定义认证。

后续操作

在自定义认证中已经创建完成用于前端自定义认证的Function API，下一步您需要进入API网关中。