我正在尝试找出在Amazon API Gateway中部署API的最佳方法。我对使用的适当授权感到非常困惑。
API将由我们的客户用于他们自己定制的应用程序。
我们不需要提供最终用户身份验证。这将由我们的客户根据其应用的特定要求由我们处理。
我们需要做的是为我们的客户应用提供一种方法来对我们的API进行身份验证。
我的理解是我有以下选择......
我原先假设,有一些直接的方法来启用OAuth2身份验证。对于我们的用例,“客户端凭证”流程将是合适的。然而,根据我所做的研究,听起来像OAuth2身份验证需要自定义授权人Lambda。我真的不热衷于必须实现完整的OAuth2服务,以验证应用程序。构建这样的东西只会花费太多。
此外,如果我们编写自己的完整自定义OAuth2授权程序,并编写API本身的所有功能,我不确定API Gateway实际上是如何为我们提供任何价值的。
是否有一些最佳实践或标准用于为API网关验证API客户端?
我们需要做的事情似乎并不是一件特别不寻常的事情,人们必须采取一些标准方式。
非常感谢任何建议。