在HTTP网关中使用授权器时用另一个JWT令牌替换JWT令牌

Question

在我的项目中，我目前有一个以这样的方式工作的遗留身份验证：

1. 有一个客户端(独立)与API service对话，这是一个在容器中运行的自定义应用程序。
2. 使用云标识提供者(IdP)支持OAuth。当用户转到登录页面，然后被重定向到回调时，它通过通常的登录过程提供令牌。
3. API service充当回调的接收方。因此，它获得身份提供程序token-1并将其存储在缓存中。在此基础上，它将修改后的token-2从token-1中“计算”回来给客户端，但是不同。
4. 一旦客户机需要进行REST调用，它就会使用token-2 JWT令牌来装饰它。调用转到将其与token-1匹配的API服务，然后可以根据IdP进行验证。

我需要使用云本地机制来摆脱API service。我假设AWS网关可以直接使用IdP的JWT授权器能力集成。遗憾的是，我不能影响当前必须保持功能的遗留流。

但是，我想在JWT和客户端端点之间插入一个Lambda，它将执行面向客户端的令牌到IdP令牌的交换(执行API service正在做的事情)。这是可能的吗?我怎样才能做到这一点？

Answer 1

听起来，您需要创建一个(正式称为自定义授权器)，而不是使用默认的JWT Authorizer。

https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-lambda-authorizer.html

您可以在其中编写自己的逻辑，包括验证令牌和执行前面提到的其他步骤。