كيفية تأمين الخدمات المصغرة على AWS باستخدام Cognito و API Gateway و Lambda

التعامل مع المصادقة أمر مؤلم. لكن معظم التطبيقات تحتاج إلى مصادقة المستخدمين والتحكم في الموارد التي يمكنهم الوصول إليها. الخدمات المصغرة ، على الرغم من تزايد شعبيتها ، يمكن أن تضيف التعقيد. تحتاج إلى تأمين كل من إجراءات المستخدم والتفاعلات بين الخدمات.

تقدم AWS بعض الكتل الإنشائية الرائعة لبنية الخدمات المصغرة. ولكن مثل أثاث ايكيا ، عليك تجميع القطع بنفسك. بالإضافة إلى أن التعليمات ليست جيدة جدًا.

سننشئ تطبيقًا بسيطًا ونهيئ AWS لمصادقة مستخدم وتأمين خدمة مصغرة.

TL ؛ DR (لفارغ الصبر)

عرض العمل: //auth-api-demo.firebaseapp.com/ (المستخدم: demouserكلمة المرور:demoPASS123)

جيثب ريبو : //github.com/csepulv/auth-api-demo

حالة / افتراض الاستخدام الأساسي: هناك مجموعتان من الموارد - أ) تلك التي تحتاج إلى مستخدم مصدق عليه و ب) تلك التي لا تحتاج .

سنستخدم

  • AWS Lambda و API Gateway و Cognito
  • Claudia.js (لبناء API الخاص بنا)
  • رد (لعميل الويب لدينا)

بالنسبة لأولئك الذين قرأوا حتى النهاية ، هناك بعض الأشياء الجيدة.

الآن ، للحصول على التفاصيل.

نموذج التطبيق المفاهيمي

يطبق التطبيق التجريبي النموذج التالي.

  • يقوم المستخدم بتسجيل الدخول إلى أحد التطبيقات ويحصل على رمز المصادقة
  • تستخدم AWS هذا الرمز المميز للتحقق من الهوية وتفويض طلبات المستخدمين للحصول على الموارد المحمية
  • تقوم App Gateway بإنشاء خندق افتراضي بين المستخدمين وموارد التطبيق

خدمات AWS

إذا كنت مستخدمًا جديدًا لـ AWS ، فهناك بوابة AWS Getting Started الرسمية. أيضًا ، لدى Udemy دورة تدريبية مجانية ، AWS Essentials.

ستحتاج إلى الوصول إلى حساب AWS. يمكنك الاشتراك في الطبقة المجانية من AWS.

AWS Lambda

بينما يعد EC2 أحد أكثر خيارات AWS شيوعًا ، أعتقد أن Lambda هو الأنسب للخدمات المصغرة. مثيلات EC2 هي أجهزة افتراضية. أنت مسؤول عن كل شيء من نظام التشغيل إلى جميع البرامج التي يتم تشغيلها. Lambda هي وظيفة كنموذج خدمة. لا يوجد توفير أو نشر للخادم ؛ تكتب منطق خدمتك.

لمزيد من المعلومات ، راجع مستندات AWS Lambda.

لكن هناك تجعد مع لامداس. لا يمكن الوصول إليهم مباشرة من قبل مستخدم التطبيق. تحتاج Lambdas إلى مشغلات تستدعي وظيفة Lambda. يمكن أن تكون هذه رسالة في قائمة الانتظار ، أو في حالتنا ، طلب بوابة API.

بوابة AWS API

توفر بوابة API خندقًا حول خدمات التطبيق الخاص بك. يمكنه تسجيل نشاط المستخدم ، والمصادقة على الطلبات وفرض سياسات الاستخدام (مثل تحديد المعدل). (تُعد مستندات AWS API Gateway مرجعًا جيدًا.)

AWS Cognito

AWS Cognito هي خدمة إدارة المستخدم والمصادقة والتحكم في الوصول. لسوء الحظ ، قد تكون جميع الميزات والتكوين مربكة في بعض الأحيان. (كما لو كان الأمان والمصادقة سهلين على الإطلاق.؟) سنركز على العناصر الأساسية لـ Cognito لتأمين واجهة برمجة التطبيقات الخاصة بنا.

إعداد التطبيق والبيئة

وصفة تطبيقنا التجريبي هي:

  1. في AWS Cognito ، أنشئ تجمع مستخدمين (مع تطبيق عميل) ومجمع هوية متحد.
  2. في AWS API Gateway ، أنشئ خطة استخدام ومفتاح API
  3. باستخدام Claudia JS ، قم ببناء ونشر واجهة برمجة تطبيقات بسيطة تستند إلى AWS Lambda.
  4. قم بتحديث دور AWS IAM لمنح المستخدمين المصادق عليهم الوصول إلى طرق API المحمية
  5. قم بإنشاء تطبيق صفحة واحدة (SPA) باستخدام create-react-app. سيستخدم AWS Cognito ويقدم طلبات API موقعة (ومصادقة)

إعداد AWS التفصيلي موجود aws-setup.md، في GitHub repo التجريبي. سنسلط الضوء على جوانب الإعداد وشرح عمل الأشياء.

AWS Cognito

تجمع المستخدمين وتطبيق العميل واسم المجال

سننشئ تجمع مستخدمين مع الإعدادات الافتراضية. التفاصيل ولقطات الشاشة:

  • تجمع المستخدمين
  • تطبيق العميل
  • اسم النطاق

تجمع الهوية الموحدة

قد يكون الأمر محيرًا بعض الشيء عندما نحتاج إلى كلٍ من تجمع المستخدمين وتجمع الهوية الموحدة. لدى Ashan Fernando شرح جيد جدًا في هذا المنشور. ببساطة،

  • توفر تجمعات المستخدمين وصول مستخدم إلى تطبيق ما. هذا مثل خدمات مثل Auth0.
  • A الاتحادية هوية تجمع يوفر الوصول إلى موارد AWS.

من خلال الجمع بين المجموعتين ، يمكن لتطبيقنا المصادقة على مستخدم وستقوم AWS بتعيين بيانات اعتماد مؤقتة. تسمح بيانات الاعتماد هذه للمستخدم بالوصول إلى موارد AWS. يحدد دور IAM ، الذي تم تكوينه في Identity Pool ، الامتيازات الخاصة ببيانات الاعتماد المؤقتة.

الإعداد التفصيلي لتجمع الهوية الموحدة موجود هنا.

بوابة AWS API

أقترح إنشاء خطة استخدام لواجهة برمجة التطبيقات الخاصة بنا. على الرغم من أنها ليست مطلبًا ، فهي ممارسة جيدة ، حيث يمكن أن "تتلاشى" تكاليف AWS إذا لم تكن حريصًا. سوف نقوم بإنشاء خطة الاستخدام ، واسمه api-auth-demoووضع دواسة الوقود ومعدل انفجر، والحصة اليومية للمكالمات API. سننشئ أيضًا مفتاح API ، والذي سيستخدمه تطبيق عميل الويب. (تفاصيل الإعداد الكاملة هنا.)

لقد انتهينا من الجزء الأكبر من إعداد AWS. سنكتب الآن وظائف Lambda الخاصة بنا ثم نبني تطبيق الويب React الخاص بنا.

AWS Lambda and Claudia JS

We will write our Lambda functions using Node.js. Claudia.js will deploy our Lambdas and configure the API Gateway. (As a note, the Serverless framework provides similar functionality.)

We only need a simple API for our example. We’ll create two API methods (i.e. very simple microservices): one for authenticated users and one for guests.

We’ll use the Claudia API Builder, which lets multiple routes map to a single lambda. The routing mechanism is similar to routing in frameworks such as Express.js.

 const ApiBuilder = require("claudia-api-builder"); const api = new ApiBuilder(); api.get("/no-auth",request => { return {message: "Open for All!"}; }, { apiKeyRequired: true } ); api.get("/require-auth", request => { return {message: "You're past the velvet rope!"}; }, { apiKeyRequired: true, authorizationType: "AWS_IAM" } ); module.exports = api; view rawapi.js hosted with ❤ by GitHub

We’ll use the Claudia.js command line to deploy the API to AWS.

claudia create --region us-west-2 --api-module api --name auth-api-demo

NOTE: Any changes to api.js will need to be re-deployed. Useclaudia update...

API Keys and Auth

In api.js, {apiKeyRequired: true} indicates that API requests require an API key. {authorizationType: 'AWS_IAM'} configures the API Gateway to authorize using AWS IAM. The underlying authentication mechanism is not obvious. The AWS docs outline the approach, but a summary is:

  • when a user signs in, Cognito will issue tokens for temporary credentials (obtained via STS).
  • for protected resources, the application needs to sign requests using these credentials
  • AWS decodes and verifies the signature
  • if the signature is valid, the API Gateway dispatches the request

There are other authorization methods available. The Claudia.js docs outline how to specify other methods. (The corresponding AWS docs are here.)

AWS IAM Roles for Authenticated Users

We need to edit the privileges for the IAM roles for authenticated users. We need to allow invoking the API Gateway method we created.

We need the ARN of the API Gateway. Go to the API Gateway console and find the API Gateway resource/method.

  • Copy the ARN
  • Go to the IAM console and find the Authenticated role created during the Cognito Federated Identity Pool setup
  • add an Inline Policy as below
  • Specify the copied ARN for the API Gateway resource in the policy.

Authenticated users can now invoke our protected API methods.

Service to Service Access Control

The Cognito setup will allow a user to invoke an API method. But this method invocation is a trigger for a Lambda function. The Lambda function executes within the context of a different IAM role. It is no longer a direct user request, but an AWS service to service interaction. IAM roles provide access control for this interaction.

Claudia.JS created the IAM role for the Lambda function. (You can also manually create this role and specify its identifier to Claudia.JS via the --role parameter. Details are here.)

If our Lambda function needs access to other AWS resources, we will need to update the Lambda’s IAM role and provide these privileges. This might be an RDS database, for example.

AWS has always used IAM to configure service to service access control. It is a well developed and well-documented model. It will probably be your primary mechanism for access control between microservices (within AWS). There might be cases where you need to augment or replace it, but I would start with IAM.

We can now build the web application for our users.

React Web Application

I am going to build a React single page web application (SPA). A Vue.js or Angular application would work too. For the client application, there are two significant components: AWS Amplify and the aws4 module.

AWS Amplify provides easy integration with AWS Cognito. aws4 is a popular library for signing AWS requests using AWS Request Signatures Version 4. AWS used signed requests for protected resources (i.e. authorized user requests).

Returning to the web client, we’ll use create-react-app. I won't outline the steps, as they are well documented on the create-react-app home page, and there are numerous online tutorials. (I've even written a few. )

For authentication, we need to do some state management. The example application doesn’t use any framework, but in a real application I’d suggest Mobx (or Redux.)

In the demo application, auth-store.js manages the user authentication state. This consists of the user's authentication state and credentials. These are used to

  • render different components and styles for authenticated vs. guest user
  • sign requests for protected API methods

While AWS Amplify manages much of the AWS Cognito integration, there is some work for us to do.

Determining Auth State from AWS Amplify

AWS Amplify’s documentation is good in some areas and deficient in others. I suggest reading the Authentication section of the Amplify documentation. This describes theAuth component, which interacts with Cognito.

However, there are still some aspects that the documentation doesn’t clearly address. AWS Amplify doesn’t make it easy to know the authentication state. (A discussion of this complexity is here.) Amplify configures itself asynchronously, without a callback. But there is an aws-amplify class that can help.

The Hub class in the aws-amplify module behaves like an event emitter. We care about two events: configured and cognitoHostedUI.

After the AWS Amplify configures the Auth component, it emits the configured event. Our application can then inquire about the current user's authentication status. This is useful when our application is being loaded, for example.

While using the application, we need to know if the authentication state changes. There is a sign-in event, but it isn't the event we want, as our demo application uses OAuth and the Cognito Hosted UI. The sign-in event is used in a custom sign-in/up screen or when using the built-in Amplify React UI. For OAuth, Amplify dispatches the cognitoHostedUI event after a completed OAuth sign-in flow.

Signing Requests

The current user will have credentials issued by AWS Cognito. These contain an access id, a secret key, and a session key. These are available by calling Auth.currentCredentials() in aws-amplify. For API methods authorized by IAM, you need to sign the request using AWS V4 Request Signatures. Thankfully, the aws4 module handles the complexities of generating these signatures.

In api-client.js,

 import aws4 from "aws4"; const apiHost = process.env.REACT_APP_API_HOST; const apiKey = process.env.REACT_APP_API_KEY; const region = process.env.REACT_APP_REGION; export async function authenticatedCall(authStore) { const opts = { method: "GET", service: "execute-api", region: region, path: "/latest/require-auth", host: apiHost, headers: { "x-api-key": apiKey }, url: `//${apiHost}/latest/require-auth` }; const credentials = await authStore.getCredentials(); const { accessKeyId, secretAccessKey, sessionToken } = credentials; const request = aws4.sign(opts, { accessKeyId, secretAccessKey, sessionToken }); delete request.headers.Host; const response = await fetch(opts.url, { headers: request.headers }); if (response.ok) { return await response.json(); } else return { message: response.statusText }; } export async function noAuthCall(authStore) { const response = await fetch(`//${apiHost}/latest/no-auth`, { headers: { "x-api-key": apiKey } }); return await response.json(); } view rawapi-client.js hosted with ❤ by GitHub

Demo

We can finally run npm start and run the app! When we first arrive at the application, we are a guest (unauthenticated user). You can also go to //auth-api-demo.firebaseapp.com/ to try it out.

We can access unprotected methods.

But if we try to access a protected resource, it will fail.

But if we sign in, we can access the protected resources.

Click Sign In and use demouser with password of demoPASS123.

We can now click the Req. Auth button to access a protected API method.

Whew! We had to configure multiple services and digest a lot of information. But we now have an application that is a model for authenticating microservices on AWS.

Now What?

This article’s approach is “all-in” on AWS. This was a deliberate choice, to show how the various AWS pieces fit together to solve a common need, namely auth. There are alternatives to methods in this article, and I outline a few here.

And for those who stayed with me to the end, I have some parting gifts.

  • In the demo repo, there is a script for automating the AWS setup. Its README has the details for running it.
  • resources-cheatsheet.md has the specific links for relevant AWS, Claudia.js, etc. documentation.

Thanks for reading!