LeetCode专题 分而治之
有个梨UGlee
2019-10-07 21:05:38 发布
请教一个serverless的问题,例如aws iot的api gateway。

api gateway允许调用lambda,一般情况下是先auth再调用,这样auth不通过不产生费用;但是有一个特别的lambda是它本身就是authorizer,aws给出的防止被人一直调用产生高额费用的方案是需要一个signature,这样就意味着客户端需要有一个private key。

我的问题是这个key大家一般怎么处理?需要在多大程度上保密?比如所有用户都用一个key行不行?但这种事情也就是防君子不防小人,或者我们的客户端口开源那想拿到key的人轻而易举,此其一;

另外一种方式是每个用户一个key,不管哪个客户端登录了云都给这一个key;如果由unusual的调用我们就把这个用户给禁了,是不是这样好一些?不过这个在authorizer的部署上会有很大麻烦,如果用户成千上万每个都给一个key这个也挺要命的吧。

熟悉serverless的同学来给点意见,谢谢!