Шлюз AWS API: вирішення помилок 403 у запитах OPTIONS під час локального виклику SAM

Шлюз AWS API: вирішення помилок 403 у запитах OPTIONS під час локального виклику SAM
Шлюз AWS API: вирішення помилок 403 у запитах OPTIONS під час локального виклику SAM
Daniel Marino
вівторок, 24 вересня 2024 р. о 04:59:50

Розуміння помилок 403 на локальному шлюзі API AWS

Після роботи з Шлюз API AWS і локальне тестування за допомогою AWS SAM (безсерверна модель додатків), зазвичай виявляють помилки, які не виникають після розгортання API. Однією з проблем є отримання a 403 Заборонена помилка під час виконання методу OPTIONS, незважаючи на належне налаштування API для CORS і налаштування AuthorizationType на "NONE". Ця проблема може бути особливо серйозною, якщо інсталяція в розгорнутому середовищі проходить гладко.

Під час тестування запитів OPTIONS локально за допомогою завитокшлюз API може повернути помилку «Відсутній маркер автентифікації». Це викликає здивування, тому що метод OPTIONS не повинен вимагати автентифікації, особливо якщо явно налаштовано на надання результату 200. Виявлення джерела цієї невідповідності має вирішальне значення для успішного місцевого розвитку.

Розуміння того, чому SAM local поводиться інакше, ніж розгорнутий шлюз API, може допомогти вам вирішити цю проблему. Дуже важливо вникнути в деталі конфігурації та переконатися, що локальне та розгорнуте середовища максимально збігаються. Неправильне налаштування часто призводить до таких помилок.

У цій статті ми розглянемо ймовірні причини помилки 403 під час локальної розробки та способи її усунення. Ми розглянемо типові підводні камені в Шаблони SAM, керування CORS і налаштування шлюзу API, щоб ви могли уникнути цих перешкод і продовжувати ефективне будівництво.

Команда Приклад використання
app.options() Визначає маршрут для обробки запитів OPTIONS у Express.js, який потрібен для обробки CORS перед початком перевірки. У цьому випадку це дає змогу серверу реагувати на запити перед друком CORS перед продовженням запиту POST.
res.setHeader() Ця функція встановлює певні заголовки HTTP у відповіді, наприклад Access-Control-Allow-Origin, які мають вирішальне значення для ввімкнення CORS і запобігання помилок 403 під час використання API з різних джерел.
PassthroughBehavior Спеціальна конфігурація для методів AWS API Gateway, яка визначає, як обробляти запити, коли відповідний шаблон недоступний. Налаштування WHEN_NO_MATCH гарантує, що макет інтеграції функціонує належним чином, якщо не надано конкретного шаблону запиту.
IntegrationHttpMethod Визначає метод HTTP, який використовується шлюзом API для виклику серверної служби (наприклад, функція Lambda). Це критично важливо для зв’язування маршруту шлюзу API з відповідним методом HTTP, який ініціюватиме серверну дію.
AWS::ApiGateway::Method Шаблон AWS SAM визначає ресурс методу API Gateway. Це критично важливо для визначення методів HTTP (POST, OPTIONS), які має підтримувати шлюз API, і зіставлення їх із серверними інтеграціями.
ResponseParameters Ця команда використовується у відповідях інтеграції API Gateway, щоб увімкнути підтримку CORS шляхом встановлення заголовків, таких як Access-Control-Allow-Methods. Ці параметри повертаються клієнту відповідно до політики CORS.
app.route() Ця команда Flask відображає методи HTTP (такі як POST і OPTIONS) на певні функції. У цьому випадку важливо по-різному реагувати на OPTIONS (запити перед друком) і POST (основні запити API).
!Ref Використовується в шаблонах AWS CloudFormation/SAM! Пов посилання на інші ресурси в шаблоні. Наприклад, він використовується для посилання scanRecordsResource і правильно пов’язувати виклики API з правильною URL-адресою.
app.response_class() Ця команда генерує спеціальний об’єкт відповіді у Flask, надаючи вам контроль над кодами статусу HTTP та заголовками. Це особливо зручно для встановлення певних заголовків CORS, наприклад Access-Control-Allow-Origin.

Розуміння та оптимізація локального виклику шлюзу AWS API

У цій статті ми розглянемо ймовірні причини помилки 403 під час локальної розробки та способи її усунення. Ми розглянемо типові підводні камені в Шаблони SAM, керування CORS і налаштування шлюзу API, щоб ви могли уникнути цих перешкод і продовжувати ефективне будівництво.

У експрес-сервері ми використовуємо res.setHeader() щоб установити заголовки CORS, наприклад «Access-Control-Allow-Origin» і «Access-Control-Allow-Methods». Це гарантує, що відповідні заголовки повертаються клієнту, дозволяючи перехресні запити. Крім того, метод POST сценарію підключається до таблиці AWS DynamoDB через AWS SDK. Операція сканування — це дія лише для читання, яка повертає всі записи з вибраної таблиці, що дозволяє перевірити взаємодію з базою даних локально. Належна обробка помилок використовується для керування проблемами з’єднання з базою даних, гарантуючи належну реакцію сервера на збої.

Другий приклад, побудований на Python з Flask, забезпечує ту саму функціональність, що й сценарій Node.js, але призначений для розробників, які мають більший досвід роботи з Python. Колби app.route() метод направляє як методи OPTIONS, так і методи POST до вказаних підпрограм, забезпечуючи легку обробку запитів перед друком CORS. Спеціальні відповіді визначаються за допомогою app.response_class() метод, який включає відповідні заголовки CORS. Метод POST, як і приклад Node.js, використовує AWS SDK для Python (boto3) для сканування таблиці DynamoDB. Ця модульність дозволяє розробникам просто змінювати бекенд залежно від того, яким вони віддають перевагу JavaScript чи Python.

Нарешті, налаштування шаблону SAM гарантує, що шлюз AWS API належним чином налаштовано для отримання запитів POST і OPTIONS. The PassthroughBehavior для атрибута встановлено значення "WHEN_NO_MATCH", що дозволяє шлюзу API обробляти запити, які не відповідають попередньо визначеному шаблону. Це корисно під час роботи з фіктивними інтеграціями, оскільки дозволяє системі надавати код стану 200 без справжнього запуску бекенда Lambda. The IntegrationResponses і MethodResponses розділи визначають заголовки та параметри відповіді, які гарантують, що метод OPTIONS надсилає правильну конфігурацію CORS клієнту. Цей метод має вирішальне значення для уникнення проблеми «403 Forbidden» під час локальних тестів SAM.

Виправлення помилок 403 на шлюзі AWS API для локального виклику SAM.

Рішення 1. Сервер Node.js із використанням Express.js і AWS SDK з ефективним керуванням CORS і OPTIONS.

// Import required modules
const express = require('express');
const AWS = require('aws-sdk');
const cors = require('cors');
const app = express();
app.use(cors());
// Middleware for JSON request parsing
app.use(express.json());
// CORS preflight response handling
app.options('/scanRecords', (req, res) => {
  res.setHeader('Access-Control-Allow-Origin', '*');
  res.setHeader('Access-Control-Allow-Methods', 'POST, OPTIONS');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.status(200).send();
});
// Main POST method for scanRecords
app.post('/scanRecords', async (req, res) => {
  const dynamoDB = new AWS.DynamoDB.DocumentClient();
  try {
    const params = { TableName: 'RecordsTable' };
    const data = await dynamoDB.scan(params).promise();
    res.status(200).json(data);
  } catch (err) {
    res.status(500).send('Error fetching records');
  }
});
// Start the Express server on PORT 3000
app.listen(3000, () => {
  console.log('Server running on http://localhost:3000');
});

Вирішення проблеми «Відсутній маркер автентифікації» в AWS SAM Local

Рішення 2: серверна частина Python із Flask, налаштована з локальним шлюзом SAM і API

from flask import Flask, jsonify, request
import boto3
app = Flask(__name__)
# CORS headers for OPTIONS requests
@app.route('/scanRecords', methods=['OPTIONS'])
def options_method():
    response = app.response_class(status=200)
    response.headers['Access-Control-Allow-Origin'] = '*'
    response.headers['Access-Control-Allow-Methods'] = 'POST, OPTIONS'
    response.headers['Access-Control-Allow-Headers'] = 'Content-Type, Authorization'
    return response
# POST method to scan records from DynamoDB
@app.route('/scanRecords', methods=['POST'])
def scan_records():
    dynamodb = boto3.resource('dynamodb')
    table = dynamodb.Table('RecordsTable')
    try:
        response = table.scan()
        return jsonify(response['Items']), 200
    except Exception as e:
        return str(e), 500
# Run the Flask app on port 3000
if __name__ == '__main__':
    app.run(debug=True, host='0.0.0.0', port=3000)

Тестування локального виклику AWS API Gateway за допомогою SAM

Рішення 3. Налаштуйте шаблон SAM для обробки запитів OPTIONS і уникнення помилок 403.

Resources:
  scanRecords:
    Type: AWS::Serverless::Function
    Properties:
      Handler: dist/dynamo/CRUD.scanRecords
      CodeUri: ./backend
      Policies:
        - AmazonDynamoDBFullAccess
        - CloudWatchLogsFullAccess
      Events:
        ApiEvent:
          Type: Api
          Properties:
            Path: /scanRecords
            Method: post
  scanRecordsOptionsMethod:
    Type: AWS::ApiGateway::Method
    Properties:
      AuthorizationType: NONE
      HttpMethod: OPTIONS
      ResourceId: !Ref scanRecordsResource
      RestApiId: !Ref apiGatewayRestApi
      Integration:
        Type: MOCK
        IntegrationResponses:
          - StatusCode: 200
            ResponseParameters:
              method.response.header.Access-Control-Allow-Headers: "'Content-Type,X-Amz-Date,Authorization,X-Api-Key,X-Amz-Security-Token'"
              method.response.header.Access-Control-Allow-Methods: "'POST,OPTIONS'"
              method.response.header.Access-Control-Allow-Origin: "'*'"

Усунення локальних помилок 403 AWS API Gateway

Розуміння того, як політики CORS (Cross-Origin Resource Sharing) застосовуються в шлюзі API, має вирішальне значення, коли ви бачите помилку 403 під час локального виклику SAM. Хоча ваше розгортання може належним чином обробляти CORS у хмарі, використовуючи локальний виклик AWS SAM іноді може призвести до несумісності між тим, як обробляється метод OPTIONS. Це пояснюється тим, що локальні середовища не завжди можуть точно дублювати всі налаштування, і механізм OPTIONS має бути належним чином інтегрований, щоб уникнути труднощів автентифікації.

Ще одна ключова особливість полягає в тому, що помилка 403 часто пов’язана з відсутніми або неправильно налаштованими дозволами API Gateway. Під час локальної розробки дуже важливо переконатися, що ваш шаблон SAM правильно визначає AuthorizationType як "NONE" для запитів OPTIONS і що відповідні дозволи в Лямбда функція налаштована належним чином. В іншому випадку запит поверне повідомлення «Відсутній маркер автентифікації», яке вказує на те, що система очікує механізм автентифікації, який не було зазначено.

Нарешті, обробка фіктивних інтеграцій є ефективним методом, щоб уникнути вимоги виклику функції Lambda для методу OPTIONS. Створіть a Інтеграція MOCK з параметрами відповіді у вашому шлюзі API, щоб гарантувати, що метод OPTIONS надає відповідь 200 за умовчанням із потрібними заголовками CORS. Це спрощує процес розробки та допомагає уникнути помилок 403, які часто спричинені некерованими запитами перед друком як у локальних, так і в розгорнутих налаштуваннях.

Поширені запитання щодо помилок AWS API Gateway 403

  1. Чому я отримую помилку 403 лише в локальному SAM, але не під час розгортання?
  2. Локальне середовище SAM може не імітувати повну конфігурацію API Gateway, особливо для AuthorizationType і налаштування CORS. Переконайтеся, що ваші локальні налаштування відповідають розгорнутим налаштуванням, включаючи підроблені інтеграції для запитів OPTIONS.
  3. Що таке помилка «Відсутній маркер автентифікації»?
  4. Ця помилка вказує на те, що шлюзу API потрібен маркер автентифікації, який не було надано. Для запитів OPTIONS переконайтеся, що AuthorizationType: NONE правильно налаштовано у вашому шаблоні SAM.
  5. Як обробляти запити CORS перед друком у шлюзі AWS API?
  6. Щоб працювати з CORS, переконайтеся, що ваш OPTIONS метод належним чином встановлено з відповідними заголовками відповіді, наприклад Access-Control-Allow-Origin і Access-Control-Allow-Methods.
  7. Чи можу я протестувати CORS локально за допомогою AWS SAM?
  8. Так, ви можете протестувати CORS локально, але переконайтеся, що ваш app.options() метод або еквівалентна конфігурація шлюзу API повертає належні заголовки для запиту OPTIONS перед друком.
  9. Що таке макет інтеграції в AWS API Gateway?
  10. А MOCK integration дає змогу повертати статичні відповіді зі шлюзу API без використання внутрішньої функції Lambda, спрощуючи обробку CORS для запитів OPTIONS.

Останні думки щодо виправлення помилок AWS API Gateway 403

Щоб виправити помилки 403 для запитів OPTIONS у локальних середовищах SAM, переконайтеся, що ваш Шаблони SAM і дозволи правильно налаштовані. Дуже важливо, щоб ваше локальне середовище якомога ближче відповідало розгорнутій конфігурації AWS.

Щоб запобігти проблемам із відсутніми маркерами, змініть AuthorizationType на «NONE» і використовуйте фальшиві інтеграції для запитів CORS перед друком. Вирішення проблем із цими налаштуваннями забезпечує плавну локальну розробку та належну поведінку шлюзу API.

Корисні джерела та посилання для помилок AWS API Gateway 403
  1. Розширює локальну розробку AWS SAM CLI та API Gateway, зосереджуючись на обробці запитів CORS. Офіційна документація AWS містить детальну інформацію та приклади. Відвідайте: Документація AWS SAM CLI.
  2. Надає детальну інформацію щодо усунення несправностей шлюзу API, таких як помилки 403 Forbidden і відсутність маркерів автентифікації. Дивіться: Обробка помилок шлюзу API .AWS.
  3. Повний посібник із налаштування CORS у функціях API Gateway і Lambda. Проблеми з CORS є поширеним джерелом помилок 403 під час локального тестування. Більше інформації тут: Центр знань AWS.