使用JWT和Lambda授权器保护AWS API网关：Clerk实践指南

在现代无服务器架构中，通过 API 网关 访问 AWS 服务是一种常见方式。API 网关不仅提供集中入口，还能与 Lambda、EC2、DynamoDB 等服务集成，构建灵活的无服务器后端。为了保障安全，API 网关提供了 授权器（Authorizer） 功能，可在流量到达后端服务前验证请求。

本文将详细介绍 JWT授权器 和 Lambda授权器 的工作原理、配置步骤，以及如何结合 Clerk 简化授权管理。

一. 什么是API网关授权器？

API网关授权器是一种安全机制，用于锁定 API 端点，只允许经过授权的请求访问。它的核心作用是在请求到达后端前进行验证：

• 验证请求合法性：只有通过授权的请求才能访问后端服务。
• 集中管理权限逻辑：避免每个服务单独实现验证。
• 降低成本：通过缓存授权结果减少Lambda调用次数，从而降低AWS账单。

二. 授权器的工作原理

以一个无服务器API为例：

1. 无授权器
   请求直接发送到 Lambda 函数，Lambda 需要自行验证请求有效性。

2. 有授权器
   请求先到授权器验证，只有验证通过的请求才被传递到后端服务。

优势：集中管理授权逻辑、保护难以直接保护的服务、减少重复验证成本。

三. 授权器类型

根据API网关配置，主要有两种与 Clerk 兼容的授权器：JWT授权器 和 Lambda授权器。

1. JWT授权器

JWT授权器通过 OpenID Connect Discovery 端点，使用 JSON Web Key Set (JWKS) 验证令牌。Discovery端点提供身份提供者（IdP）信息，如JWT发布者、支持的作用域及令牌声明。

请求验证流程：

• API网关使用 JWKS 和 aud 声明验证JWT。
• 验证通过后，将请求转发到后端服务。

配置步骤：

1. 在 Clerk 仪表板中获取前端 API URL 作为 OpenID Connect Discovery 端点。
2. 配置 aud 声明值，例如 "ClerkJwtAuthorizer"。
3. 在 AWS API 网关中创建 JWT 授权器并附加到需要保护的路由。

2. Lambda授权器

Lambda授权器允许使用自定义 Lambda 函数验证请求，提供最大灵活性，适用于 REST 和 HTTP API 类型。

配置步骤：

1. 在 Clerk 仪表板中获取 JWT 公钥。
2. 创建 Lambda 函数，使用 jsonwebtoken 库验证令牌，并根据用户角色决定是否允许访问。
3. 将 Lambda 函数打包上传至 AWS Lambda。
4. 在 API 网关中创建 Lambda 授权器，并附加到目标路由。

四. 使用Clerk保护API网关

Clerk 简化了 JWT 和 Lambda 授权器的配置：

1. 用户登录应用时，Clerk生成短期令牌并存储在浏览器 Cookie。
2. 开发者提取令牌，并添加到 HTTP 请求的 Authorization 头。

配置步骤：

1. 在 Clerk 仪表板中添加自定义声明（如 aud 或用户角色）。
2. 在 AWS API 网关中创建并配置授权器。
3. 将授权器附加到需要保护的路由。

五. 总结

授权器是保护 API 网关端点的第一道防线。通过：

• JWT授权器：快速、标准化的令牌验证
• Lambda授权器：自定义、细粒度的访问控制

开发者可以灵活管理 API 权限。结合 Clerk，可快速生成、管理令牌，简化配置流程。通过这些实践，您的 API 网关安全性将显著提升。

原文链接: https://clerk.com/blog/how-to-secure-api-gateway-using-jwt-and-lambda-authorizers-with-clerk