Я оцениваю использование сертификатов клиентов для повышения безопасности в приложении, над которым я работаю. Все это выполняется на AWS и проходит через API-шлюз с прикрепленным авторизатором Lambda.
В документации AWS указано, что API Gateway не поддерживает аутентификацию с помощью клиентских сертификатов, но позволяет вам выполнять аутентификацию в вашем бэкэнде, но в документации не упоминается, что происходит, когда вы используете авторизаторы Lambda.
Моя первая ставка - это не сработает, так как API Gateway не видит заголовки. Но поскольку API-шлюз обрабатывает создание и хранение сертификатов, возможно, он сможет, по крайней мере, подключиться к потоку данных, чтобы получить данные заголовка, позволяющие Lambda Authorizer работать.
В моем случае я хочу добавить сертификат клиента к моей уже существующей авторизации на основе токена.
Эту настройку можно реализовать или только путем переноса проверки токена на бэкэнд.
Проверка сертификата клиента происходит во время рукопожатия TLS.. Авторизатор лямбда работает с HTTP-запросом пример ввода. Таким образом, вы не можете выполнить настоящую взаимную аутентификацию. Вы могли бы сделать какое-то нестандартное решение, в котором вы вставляете какую-то подписанную информацию в заголовок (подумайте о sigv4), но это не совсем то, о чем мы говорим, когда говорим о взаимном TLS.