我正在考虑将AWS用于一个项目,该项目将IOS应用程序作为客户端,服务器端使用Java Spring自定义开发的REST API。我一直在阅读使用签名版本(大多数服务的版本4)签署所有AWS服务请求的需求,并希望利用该机制来保护我的REST服务。有很多关于在AWS SDK中使用REST包装器来获取S3或DynamoDB等服务的文档,但是我无法获得有关如何从在Elastic Bean stalk上运行的自定义REST API验证签名的明确答案(例如部署在实现Spring REST的Tomcat上的WAR
1)IOS客户端使用RestKit调用REST服务(或者我可以在Amazon SDK中使用IOS代替我使用的类)。作为调用的一部分,它指定了令牌字符串和AWS访问密钥。
2)服务器端,在Elastic Bean stalk上运行在Tomcat上的Java程序,接收REST调用并通过首先验证签名来处理它。如果签名对应于重新计算的签名,则允许该请求,否则拒绝它。
根据用于ObjC和Java的AWS开发工具包中可用的REST签名验证(再次不使用S3等预先设置的服务),有人能指出正确的方向吗?
非常感谢。
答案 0 :(得分:1)
这是一个很好的问题,也是我们客户非常受欢迎的功能要求。截至今天,没有AWS API来验证基于AWS Access Key / Secret Key的自定义Web服务签名。
但是,AWS所做的一切都基于客户反馈,您的反馈有助于设置我们的开发优先级。我们经常听到这个要求。