Autorisierung von AWS API Gateway-Anforderungen von Token in Abfragezeichenfolge

Question

Ich habe API Gateway mit einem Cognito Authorizer eingerichtet, der jede Anfrage mit dem ID Token in der Kopfzeile korrekt autorisiert.

Dies ist in Ordnung, wenn Anfragen XHR basieren, wie ich die Header bei der Vorbereitung der Anfrage hinzufügen kann. Ich kann dies jedoch nicht hinzufügen, wenn ich <audio src="http://api-gateway/..."> verwende, das direkt vom Browser erstellt wird.

Das Beste, was ich tun kann, ist das Anfügen des Tokens in der Querystring (?token=...), aber Cognito akzeptiert nur Token in den Headern.

Gibt es eine Möglichkeit, Cognito dazu zu bringen, Anfragen zu autorisieren, wenn sie aus HTML/CSS stammen?

Answer 1

Leider unterstützt das API-Gateway keine Sicherheitstoken in Abfragezeichenfolgen oder Pfadparametern. Ich sehe nicht, dass sich dies kurzfristig ändert, daher würde ich empfehlen, alle hardcodierten HTML-Elemente durch einen geeigneten JS-Client-Code zu ersetzen.