了解自定义身份验证工作流 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解自定义身份验证工作流

自定义身份验证使您能够定义如何通过使用授权方资源对客户端进行身份验证和授权。  每个授权方都包含对客户管理的 Lambda 函数的引用、用于验证设备凭证的可选公钥以及其他配置信息。 下图说明了中自定义身份验证的授权工作流程 Amazon IoT Core。


                    中用于自定义身份验证的自定义授权工作流程 Amazon IoT Core。

Amazon IoT Core 自定义身份验证和授权工作流程

下面的列表说明了自定义身份验证和授权工作流中的每个步骤。

  1. 设备使用支持的终端连接到客户 Amazon IoT Core 的数据端点设备通信协议。设备在请求的标头字段或查询参数(针对基于协议的 HTTP 发布或 MQTT),或者在 MQTT CONNECT 消息的用户名和密码字段(适用于 WebSockets 协议上的 MQTT 和 MQTT)中传递凭证。 WebSockets

  2. Amazon IoT Core 检查以下两个条件之一:

    • 传入的请求指定授权方。

    • 接收请求 Amazon IoT Core 的数据端点已为其配置了默认授权方。

    如果通过上述任一方式 Amazon IoT Core 找到授权方,则 Amazon IoT Core 会触发与授权方关联的 Lambda 函数。

  3. (可选)如果您已启用令牌签名,则在触发 Lambda 函数之前,使用存储在授权方中的公钥来 Amazon IoT Core 验证请求签名。如果验证失败, Amazon IoT Core 将停止请求而不调用 Lambda 函数。 

  4. Lambda 函数接收请求中的凭证和连接元数据,并做出身份验证决策。

  5. Lambda 函数返回身份验证决策的结果和一份 Amazon IoT Core 策略文档,其中指定了连接中允许的操作。 Lambda 函数还会返回信息,指定通过调用 Lambda 函数 Amazon IoT Core 重新验证请求中的证书的频率。

  6. Amazon IoT Core 根据连接从 Lambda 函数收到的策略评估连接上的活动。

扩展注意事项

由于 Lambda 函数为您的授权方处理身份验证和授权,因此该函数受 Lambda 定价和服务限制的约束,例如并发执行率。有关 Lambda 定价的更多信息,请参阅 Lambda 定价。您可以通过调整 Lambda 函数响应中的 refreshAfterInSecondsdisconnectAfterInSeconds 参数管理您 Lambda 函数上的负载。有关 Lambda 函数响应内容的更多信息,请参阅 定义您的 Lambda 函数

注意

如果启用签名,则可以防止无法识别的客户端过度触发 Lambda。在禁用授权方的签名之前,请考虑这一点。

注意

自定义授权方的 Lambda 函数超时限制为 5 秒。