我试图限制用户只查看自己的数据而不是其他任何人。所以,如果用户(bob)试图点击
/api/v1/get-device-info?username=jon
,我希望API网关发送403,只允许用户名= bob。在Lambda方面,我从RDS获取数据。为了解决这个问题,我正在查看自定义授权程序,并且阻止了如何确定进行查询的用户的身份。
答案 0 :(得分:0)
你是什么意思"建立用户身份"?如果您使用的是自定义授权程序,则用户应在请求标头中发送一个标记,以将其标识为您的API用户。