Amazon web services 通过自定义授权人方法使用Auth0授权AWS APIGateway

技术堆栈位于前端，后端由APIGateway和Lambda供电。我正在我的react应用程序中使用Auth0作为身份服务。通过Auth0提供的一个社交登录进行身份验证后，我返回

access\u-token

、

id\u-token

和

expiration\u-time

。此外，我可以使用

id\u令牌

获取用户信息，例如

emailId

。现在，我需要保护/阻止访问我的后端，即APIGateway和Lambda

有许多选项可以保护对AWS APIGateway的访问，如IAM授权人，自定义授权人。有一个关于如何使用的Auth0文档。我想知道，如何使用自定义授权。我了解定制授权器如何工作的高级体系结构

以下是我关于自定义授权人的问题：

1Q.通过使用react auth0身份验证模块，我返回

访问\u令牌

，

id\u令牌

和

到期

。接收到的访问令牌不是JWT。如何获取JWT access_令牌，以便我可以通过授权头传递它

2Q.我在Auth0仪表板中看到一个名为API的单独部分。这是非常混乱和模棱两可的。据我所知，这个Auth0的API部分需要单独调用Auth0服务器并接收新的访问令牌，这与社交登录的访问令牌不同。为什么我不能使用react的身份验证客户端的访问令牌？我可能错了，但我不理解Auth0中的API部分

3Q.假设我以某种方式在授权头中发送访问令牌，我如何在自定义授权人的Lambda中验证该令牌。关于这一点，有好几篇博文，但每篇博文都采用了不同的方法。一些使用

id\u令牌

进行验证，另一些使用

jwt包

进行解码，但我没有看到对Auth0的验证调用

---

有一些关于使用Auth0授权APIGateway的博客文章，但它们要么是旧的/不推荐的，要么是使用一些黑客对其进行授权。如果我们能够记录使用Auth0授权APIGateway的正确方法，那就太好了。

我在与Auth0支持团队交谈后找到了上述问题的答案。下面是一个详尽的指南，它解释了使用自定义授权器进行APIGateway和Auth0集成的过程