Tôi đang cố gọi một Hàm Lambda thông qua Cổng API AWS. Khi tôi đề cập đến loại Xác thực KHÔNG, nó hoạt động tốt nhưng API trở nên công khai và bất kỳ ai có url đều có thể truy cập API của tôi. Để làm cho cuộc gọi API an toàn, tôi đang sử dụng loại Xác thực AWS_IAM và cũng đã đính kèm chính sách AmazonAPIGatewayInvokeFullAccess cho người dùng của mình nhưng gặp lỗi này:
{ message: "Missing Authentication Token"}
Tôi không biết những gì tôi đang thiếu ở đây.
Câu trả lời:
Tôi nghĩ rằng bạn đang trực tiếp cố gắng truy cập liên kết API, điều này sẽ không hoạt động vì API được bảo mật bằng vai trò IAM và bạn phải cung cấp xác thực AWS tức là Khóa truy cập và Khóa bí mật.
Sử dụng tiện ích mở rộng Postman của Chrome để kiểm tra API của bạn: http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html
Tôi đã mất thời gian vì một lý do ngớ ngẩn:
Khi bạn tạo một giai đoạn, liên kết được hiển thị không chứa phần tài nguyên của URL:
URL API: https://1111.execute-api.us-east-1.amazonaws.com/dev
API + URL NGUỒN LỰC https://1111.execute-api.us-east-1.amazonaws.com/dev/get-list
Các / get-danh sách đã mất tích
Và tất nhiên, bạn cần kiểm tra xem cấu hình phương thức có giống như sau không:
Tôi vừa gặp sự cố tương tự và có vẻ như nó cũng hiển thị thông báo này nếu không tìm thấy tài nguyên.
Trong trường hợp của tôi, tôi đã cập nhật API nhưng quên triển khai lại. Sự cố đã được giải quyết sau khi triển khai API cập nhật cho giai đoạn của tôi.
Có vẻ như (kể từ tháng 4 năm 2019) AWS API Gateway đưa ra ngoại lệ này vì nhiều lý do - chủ yếu là khi bạn đang chạm vào một điểm cuối mà API Gateway không thể tiếp cận, vì nó không được triển khai hoặc cũng có thể trong các trường hợp cụ thể đó Phương thức HTTP không được hỗ trợ.
Tôi muốn cổng gửi các mã lỗi thích hợp hơn như Phương pháp HTTP 405 không được hỗ trợ hoặc không tìm thấy HTTP 404, thay vì HTTP 403 Forbidden chung chung.
Đảm bảo rằng bạn đang nhấp vào Tài nguyên cụ thể trước tiên trong cây Giai đoạn, vì điều đó sẽ điền một URL có đường dẫn đầy đủ đến tài nguyên (thay vì chỉ đường dẫn gốc):
Đối với các nguyên nhân khác, hãy xem http://www.awslessons.com/2017/aws-api-gateway-missing-authentication-token/
Đảm bảo rằng bạn tạo Tài nguyên và sau đó tạo phương thức bên trong nó. Đó là vấn đề đối với tôi. Cảm ơn
Tìm thấy cái này trong tài liệu:
Nếu ủy quyền AWS_IAM đã được sử dụng, bạn sẽ ký yêu cầu bằng giao thức Chữ ký Phiên bản 4.
Yêu cầu ký với Phiên bản Chữ ký 4
Bạn cũng có thể tạo SDK cho API của mình.
Cách tạo SDK cho một API trong API Gateway
Khi bạn đã tạo SDK cho nền tảng bạn chọn, bước 6 đề cập rằng nếu bạn đang sử dụng thông tin đăng nhập AWS, yêu cầu đối với API sẽ được ký:
Để khởi tạo SDK do API Gateway tạo bằng thông tin đăng nhập AWS, hãy sử dụng mã tương tự như sau. Nếu bạn sử dụng thông tin đăng nhập AWS, tất cả các yêu cầu tới API sẽ được ký. Điều này có nghĩa là bạn phải đặt tiêu đề Chấp nhận CORS thích hợp cho mỗi yêu cầu:
var apigClient = apigClientFactory.newClient({
accessKey: 'ACCESS_KEY',
secretKey: 'SECRET_KEY',
});
Nếu bạn bật xác thực AWS_IAM, bạn phải ký yêu cầu của mình bằng thông tin đăng nhập AWS bằng AWS Signature phiên bản 4 .
Lưu ý : việc đăng nhập vào bảng điều khiển AWS không tự động ký các yêu cầu của trình duyệt tới API của bạn.
đôi khi thông báo này hiển thị khi bạn đang gọi nhầm một api
kiểm tra điểm cuối api của bạn
Tôi thử tất cả các bước ở trên, nếu bạn đã thực hiện tất cả các bước trong các câu trả lời trên và bạn không giải quyết được vấn đề, thì:
Tôi điều đó là do, khi tôi tạo "YÊU CẦU PHƯƠNG PHÁP" (xem bước 2 cách chuyển đến menu này), trong "Ủy quyền", tôi chọn "AWS_IAM" sau khi thử nghiệm api, trong tùy chọn kiểm tra aws, tôi thử nó trong "người đưa thư "thì tôi hiểu trong" YÊU CẦU PHƯƠNG PHÁP ", trong" Ủy quyền ", tôi nên chọn" không "
Tôi thay đổi nó thành không, nhưng tôi nghĩ AWS, cần phải triển khai lại, như tôi giải thích
Lỗi này chủ yếu xảy ra khi bạn gọi sai điểm cuối api. Kiểm tra điểm cuối api của bạn mà bạn đang gọi và xác minh điều này trên cổng api.
Nếu bạn đang sử dụng API có điểm cuối thuộc loại PRIVATE , hãy đảm bảo:
Bạn đang gọi API từ trong tài khoản AWS của mình (ví dụ: từ phiên bản EC2 được tạo trong tài khoản của bạn)
Đặt thông tin xác thực cần thiết (khóa truy cập và khóa bí mật) trong phiên bản EC2 trong route ~ / .aws / credentials (tuyến đường này dành cho phiên bản linux) Nếu người dùng IAM sử dụng MFA thì giá trị aws_session_token cũng sẽ được yêu cầu.
Sử dụng URL dựa trên vpce (vpc endpoint). Ví dụ: curl https://vpce-0c0471b7test-jkznizi5.execute-api.us-east-1.vpce.amazonaws.com/dev/api/v1/status
Phiên bản EC2 của bạn có một nhóm bảo mật hơn là cho phép lưu lượng ra ngoài đến một nhóm bảo mật khác do vpce sở hữu như: 
Nhóm bảo mật vpce của bạn cho phép lưu lượng đến từ một nhóm bảo mật khác (sg trước đó từ phiên bản ec2) do phiên bản EC2 sở hữu như: 
Xem: https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-private-apis.html
Trước hết, hãy kiểm tra xem API bạn tạo trong hàm lamda có được đăng ký với dự án AWS của bạn hay không. Đối với điều đó, hãy truy cập cổng API trong bảng điều khiển AWS của bạn. Nếu nó chưa được đăng ký, hãy đăng ký nó. Đây là nguyên nhân chính của vấn đề này.
Bạn thậm chí có thể thấy trong tệp aws.export.js của mình , có các đường dẫn tương ứng với API của bạn ['/items'].
API của bạn phải có ở đó, nếu không nó sẽ không gắn mã thông báo bảo mật vào các yêu cầu. Chỉ cần đăng ký nó trong logic đám mây dự án của bạn trong bảng điều khiển của bạn cho việc này.
Nếu nó ở đó, thì hãy sử dụng giải pháp được đề cập ở trên
http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-use-postman-to-call-api.html
Đối với bản ghi, nếu bạn không sử dụng thông tin đăng nhập, lỗi này cũng hiển thị khi bạn đang đặt trình xác thực yêu cầu trong phương thức POST / PUT của mình thành "xác thực nội dung, tham số chuỗi truy vấn và HEADERS" hoặc tùy chọn khác "xác thực chuỗi truy vấn tham số và HEADERS ".... trong trường hợp đó nó sẽ tìm kiếm thông tin đăng nhập trên tiêu đề và từ chối yêu cầu. Tóm lại, nếu bạn không có ý định gửi thông tin đăng nhập và muốn giữ nó ở trạng thái mở, bạn không nên đặt tùy chọn đó trong trình xác thực yêu cầu (đặt nó thành NONE hoặc để xác thực nội dung)
Tôi đã gặp vấn đề tương tự mà tôi đã giải quyết theo cách sau:
GET Phương pháp kiểm tra
https://54wtstq8d2.execute-api.ap-southeast-2.amazonaws.com/dev/echo/hello
Authorization tab ->
• select type(AWS signature)
• Add AccessKey and SecretKey
Nếu bạn thiết lập vai trò IAM cho máy chủ của mình có quyền AmazonAPIGatewayInvokeFullAccess, bạn vẫn cần chuyển tiêu đề cho mỗi yêu cầu. Bạn có thể thực hiện việc này trong python với thư viện aws-request-auth như sau:
import requests
from aws_requests_auth.boto_utils import BotoAWSRequestsAuth
auth = BotoAWSRequestsAuth(
aws_host="API_ID.execute-api.us-east-1.amazonaws.com",
aws_region="us-east-1",
aws_service="execute-api"
)
response = requests.get("https://API_ID.execute-api.us-east-1.amazonaws.com/STAGE/RESOURCE", auth=auth)