背景

微服务架构的分布式特性可以带来很多好处，但是单个微服务并不能独立对外提供服务，一个微服务群组需要作为一个整体对外提供完整的服务体验，而如何实现支撑整体的通用功能就需要好好考虑一番了。

就我司的需求来说，我们需要实现的通用功能包括路由（Routing）、认证（Authorization）、鉴权（Authentication），以及后端API的组合（API Composition）。我们计划在同一个地方即API Gateway，部署这一组功能，而不是在每个微服务都重复部署。

ℹ️ 在[微服务/API时代的前端开发] BFF入门--5个实用的BFF使用案例一文中，介绍了5个典型的BFF应用场景，API Gateway就是其中一个。

OIDC是一个适合微服务的认证方式，由于我们的服务主要构筑在AWS上，所以计划采用AWS Cognito作为ID Provider（或称为Authorization Server）。

关于OAuth和OIDC

OAuth和OIDC有什么区别呢？简单的说，OAuth是个框架（Framework），而Open ID Connect是一个协议。在OAuth2.0框架中，定义了认证过程中的各种角色以及5种认证流程。

角色包括：

资源所有者（Resource Owner），能够授予对受保护资源的访问权限的实体。当资源所有者是一个人时，它被称为最终用户。
资源服务器（Resource Server），托管受保护资源的服务器，能够通过访问令牌，对受保护资源的请求做出响应。
客户端（Client），代表资源所有者并经其授权向受保护资源发出请求的应用程序。术语“客户端”并不意味着任何特定的实现特征（例如，应用程序是否在服务器、桌面或其他设备上执行）。为了方便区分，也经常被称为OAuth客户端。
认证服务器（Authorization Server）,该服务器在成功验证资源所有者并获得授权后向客户端颁发访问令牌。
用户代理（User Agent），资源所有者的用户代理是客户端与资源所有者交互的中介（通常是 Web 浏览器）。

5种认证流程分别是：

授权码模式（Authorization Code Grant）
简单模式（Implicit Grant）
密码模式（Resource Owner Password Credentials Grant）
客户端模式（Client Credentials Grant）
扩展模式（Extension Grants）

以最常见的授权码模式为例，具体认证流程如下：

     +----------+| Resource ||   Owner  ||          |+----------+^|(B)+----|-----+          Client Identifier      +---------------+|         -+----(A)-- & Redirection URI ---->|               ||  User-   |                                 | Authorization ||  Agent  -+----(B)-- User authenticates --->|     Server    ||          |                                 |               ||         -+----(C)-- Authorization Code ---<|               |+-|----|---+                                 +---------------+|    |                                         ^      v(A)  (C)                                        |      ||    |                                         |      |^    v                                         |      |+---------+                                      |      ||         |>---(D)-- Authorization Code ---------'      ||  Client |          & Redirection URI                  ||         |                                             ||         |<---(E)----- Access Token -------------------'+---------+       (w/ Optional Refresh Token)

OAuth 2.0 的设计仅用于认证，用于将数据和功能从一个应用程序授予另一个应用程序的访问权限。 OpenID Connect (OIDC) 位于 OAuth 2.0 之上，它添加了用户登录（Login）和个人资料信息（Profile）。当认证服务器支持 OIDC 时，它有时被称为身份提供者（ID Provider），因为它向客户端提供有关资源所有者的信息。

OpenID Connect 支持可以跨多个应用程序使用一次登录的场景，也称为单点登录 (SSO)。例如，应用程序可以通过社交网络服务（如 Facebook 或 Twitter）支持 SSO，以便用户可以选择使用他们既有的登录信息。

OpenID Connect 流程看起来与 OAuth 相同。唯一的区别是，在初始请求中，使用了特定的SCOPE：openid，并且在最终交换时，客户端同时收到一个 访问令牌（Access Token） 和一个 ID 令牌（ID Token）。

关于Cognito

AWS Cognito可以为 Web 和移动应用程序添加用户注册、登录和访问控制功能。可以将用户规模扩展到数百万，并支持通过 SAML 2.0 和 OpenID Connect，使用社交身份提供商（如 Apple、Facebook、Google 和 Amazon）以及企业身份提供商进行登录。简单的说Cognito就是AWS提供的ID Provider，它可以很方便的和ALB、AWS API Gateway、CloudFront进行集成。

AWS Cognito的文档中，对OAuth授权码模式的支持如下图所示：

方案

如前所述，我们采用AWS Cognito作为认证服务器，至于OAuth客户端（即API Gateway）的实现，我们采用的是Spring Cloud Gateway和Spring Security的组合。

认证流程

上图中的微服务将扮演资源服务器的角色，用来展示如何使用 Spring Security 5.2+ 来确保服务的安全。调用它的任何用户（机器）负责提供有效的访问令牌（Access Token），在我们的例子中使用的是 JWT 格式的不记名令牌。除了典型的访问令牌JWT 还允许传输与 AuthN/AuthZ 相关的声明，例如用户名或角色/权限。这样微服务就无需为此类信息不断向原始身份提供者发出请求。

API 网关将使用基于会话（Session）的登录，用于展示 OAuth 2 的授权码模式。另外，这里会展示如何根据资源服务器的要求使用适当的 OAuth 令牌来控制 HTTP 访问请求。关键是从 Cognito 获取的访问/刷新令牌永远不会暴露给浏览器。Spring Cloud Gateway支持 WebFlux 模式和传统的MVC模式，由于所有的后端请求都需要经过API网关，对高吞吐量和低延迟有较高的要求，所以我们选择了非阻塞式的WebFlux模式。

鉴权

我们计划在后端的一个账户服务中管理用户，用户所属的角色，以及角色对应的URL权限。Spring Security虽然支持如下所示的鉴权方式，但是只能硬编码，不能满足我们的需求。

http.authorizeExchange().pathMatchers(HttpMethod.GET, "/api/account/**").hasRole("account.access");

我们需要考虑如何让API网关从账户服务中获取实时的权限配置，实现动态鉴权。我们将实现一个自定义的ReactiveAuthorizationManager，作为鉴权过滤器，并通过如下方式添加到配置中。在自定义的过滤器中，定时从后端账户服务获取最新的权限配置，并刷新到API网关。

http.authorizeExchange().pathMatchers("/api/**").access(authorizationManager);

对于用户的角色，我们计划使用Cognito的群组（Group）功能，以群组作为角色进行权限控制。原因是我们可以很方便的利用Cognito维护用户和群组的关系，同时在令牌中也很容易获取用户所在群组的信息。关键是我们需要手动将Cognito群组信息转换为Spring Security能够识别的角色/权限。我们需要自定义一个ReactiveOAuth2UserService的Bean，实现群组到角色的转换。之后就可以使用GrantedAuthority来校验用户的权限了。

API组合

我们希望在API网关实现API组合的功能，将后端多个微服务的API组合成一个在功能上相对完整的API，对外提供服务。例如“显示页面时，从日记列表API获取日记的列表信息，同时从评论列表API获取多个评论”。在这种情况下，需要同时请求多个后端API。而在本文的代码示例中，我将把订单API和库存API组合在一起，返回给前端。

很遗憾，Spring Cloud Gateway官方并没有提供这个功能，虽然在社区的讨论中有很多这样的呼声(参考 Have Routes Support Multiple URIs?)。不过社区成员 spencergibb 建议使用Spring Cloud Gateway提供的 ProxyExchange 对象来实现这种功能。我们的示例中也采用了同样的实现方式。

 @PostMapping("/proxy")public Mono<ResponseEntity<Foo>> proxy(ProxyExchange<Foo> proxy) throws Exception {return proxy.uri("http://localhost:9000/foos/") //.post(response -> ResponseEntity.status(response.getStatusCode()) //.headers(response.getHeaders()) //.header("X-Custom", "MyCustomHeader") //.body(response.getBody()) //);}

实现

AWS Cognito

创建AWS实例

首先使用Terraform构筑AWS Cognito实例。

cd ./aws-cognito
terraform init
terraform apply

Client ID, user pool ID 会被打印在窗口中，后续会使用到。

获取 client secret

出于安全方面的考虑，Terrafrom不允许将client secret 打印在窗口中，所以需要用以下命令获取。

aws cognito-idp describe-user-pool-client --user-pool-id <your-user-pool-id> \
--client-id <your-client-id>

注册用户并确认

注册用户admin@example.com。

aws cognito-idp sign-up --region <your-aws-region> \
--client-id <your-client-id> --username admin@example.com \
--password password123aws cognito-idp admin-confirm-sign-up --region <your-aws-region> \
--user-pool-id <your-user-pool-id> \
--username admin@example.com

加入群组

将测试用户加入account.access群组。

aws cognito-idp admin-add-user-to-group --user-pool-id <your-user-pool-id> \
--username admin@example.com \
--group-name account.access

API网关

依赖

在build.gradle中添加如下依赖：

    implementation  "org.springframework.boot:spring-boot-starter-webflux"implementation  "org.springframework.boot:spring-boot-starter-oauth2-client"implementation  "org.springframework.security:spring-security-oauth2-jose"implementation  "org.springframework.security:spring-security-config"implementation  "org.springframework.cloud:spring-cloud-starter-gateway"implementation  "org.springframework.cloud:spring-cloud-gateway-webflux"

配置

在application.yaml中添加OAuth2的配置。这里需要将上一步中获得的Cognito的client-id, client-secret等信息配置到该文件中。

spring:security:oauth2:client:provider:cognito:issuerUri: https://cognito-idp.<region-id>.amazonaws.com/<region-id>_<user-pool-id>user-name-attribute: usernameregistration:cognito:client-id: <client-id>client-secret: <client-secret>client-name: scg-cognito-sample-user-poolprovider: cognitoscope: openidredirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'authorization-grant-type: authorization_code

另外，还需要添加路由相关的配置，这里是用来TokenRelayFilter，用于通过Http Header将Token传递给后端微服务。

spring:cloud:gateway:default-filters:- TokenRelayroutes:- id: account_service_routeuri: http://localhost:8082predicates:- Path=/api/account/**- id: order_service_routeuri: http://localhost:8083predicates:- Path=/api/order/**- id: storage_service_routeuri: http://localhost:8084predicates:- Path=/api/storage/**

代码

在SecurityWebFilterChain中设置自定义的鉴权过滤器MyAuthorizationManager。

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,ReactiveClientRegistrationRepository clientRegistrationRepository,MyAuthorizationManager authorizationManager) {// Authenticate through configured OpenID Providerhttp.oauth2Login(withDefaults());// Also logout at the OpenID Connect providerhttp.logout(logout -> logout.logoutSuccessHandler(new OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)));// add authorization filtershttp.authorizeExchange().pathMatchers("/api/**").access(authorizationManager);// Require authentication for all requestshttp.authorizeExchange().anyExchange().authenticated();// Disable CSRF in the gateway to prevent conflicts with proxied service CSRFhttp.csrf().disable();return http.build();
}

使用ReactiveOAuth2UserService，将Cognito群组信息转换为Spring Security能够识别的角色/权限。

@Bean
public ReactiveOAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {final OidcReactiveOAuth2UserService delegate = new OidcReactiveOAuth2UserService();return (userRequest) -> {// Delegate to the default implementation for loading a userreturn delegate.loadUser(userRequest).map(user -> {Set<GrantedAuthority> mappedAuthorities = new HashSet<>();user.getAuthorities().forEach(authority -> {if (authority instanceof OidcUserAuthority) {OidcUserAuthority oidcUserAuthority = (OidcUserAuthority) authority;// get cognito groups from tokenJSONArray groups = oidcUserAuthority.getIdToken().getClaim("cognito:groups");if (Objects.nonNull(groups)) {groups.stream()// map group to role.map(roleName -> "ROLE_" + roleName).map(SimpleGrantedAuthority::new).forEach(mappedAuthorities::add);}}});return new DefaultOidcUser(mappedAuthorities, user.getIdToken(), user.getUserInfo());});};
}

自定义的鉴权过滤器MyAuthorizationManager代码如下：

@Component
public class MyAuthorizationManager implements ReactiveAuthorizationManager<AuthorizationContext> {// ...@Overridepublic Mono<AuthorizationDecision> check(Mono<Authentication> authenticationMono,AuthorizationContext authorizationContext) {ServerHttpRequest request = authorizationContext.getExchange().getRequest();// pass OPTIONS request of CORSif (request.getMethod() == HttpMethod.OPTIONS) {return Mono.just(new AuthorizationDecision(true));}// authenticateString url = request.getURI().getPath();return authenticationMono.map(auth -> new AuthorizationDecision(urlAuthorityChecker.check(auth.getAuthorities(), url))).defaultIfEmpty(new AuthorizationDecision(false));}}

具体的权限校验逻辑在UrlAuthorityChecker中实现。

@Component
@EnableScheduling
public class UrlAuthorityChecker {// .../*** map for permission and url*/private Map<String, String> permissionUrlMap;/*** check granted authorities of user*/public boolean check(Collection<? extends GrantedAuthority> authorities, String requestedUrl) {// loop all the authorities of user to find out if the url is authenticatedfor (GrantedAuthority authority : authorities) {String authorizationUrl = permissionUrlMap.get(authority.getAuthority());if (authorizationUrl != null && antPathMatcher.match(authorizationUrl, requestedUrl)) {return true;}}return false;}/*** create newPermissionUrlMap and replace the old one.* add scheduled task to refresh the map every certain ms.*/@Scheduled(initialDelay = 0, fixedDelay = REFRESH_DELAY)private void updatePermissionNameAuthorizationUrlMap() {Map<String, String> permissions = permissionManager.getPermissions();Map<String, String> newPermissionUrlMap = new ConcurrentHashMap<>();permissions.forEach((k,v) -> newPermissionUrlMap.put("ROLE_" + k, v));permissionUrlMap = newPermissionUrlMap;}
}

关于API组合功能，我们使用ProxyExchange实现了订单API和库存API的整合。

@GetMapping("/composition/{id}")
public Mono<? extends ResponseEntity<?>> proxy(@PathVariable Integer id, ProxyExchange<?> proxy) throws Exception {return proxy.uri("http://localhost:8083/api/order/get/" + id).get(resp -> ResponseEntity.status(resp.getStatusCode()).body(resp.getBody())).flatMap(re1 -> proxy.uri("http://localhost:8084/api/storage/get/" + id).get(resp -> ResponseEntity.status(resp.getStatusCode()).body(Map.of("order",re1.getBody(),"storage",resp.getBody()))));
}

资管服务器（微服务）

依赖

在build.gradle中添加如下依赖：

    implementation 'org.springframework.boot:spring-boot-starter-web'implementation 'org.springframework.boot:spring-boot-starter-oauth2-resource-server'

配置

在application.yaml中，增加OAuth2的资源服务器配置。

spring:security:oauth2:resourceserver:jwt:issuer-uri: https://cognito-idp.<region-id>.amazonaws.com/<region-id>_<user-pool-id>

代码

在SecurityConfig中配置资源服务器，启用 JWT令牌校验，并采取API网关相同的措施，将令牌中的Cognito群组信息装换为角色/权限。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {// Validate tokens through configured OpenID Providerhttp.oauth2ResourceServer().jwt().jwtAuthenticationConverter(jwtAuthenticationConverter());// Permit request for permissionshttp.authorizeRequests().antMatchers(HttpMethod.GET, "/api/account/permissions").permitAll();// Require authentication for the other requestshttp.authorizeRequests().anyRequest().authenticated();}private JwtAuthenticationConverter jwtAuthenticationConverter() {JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();// Convert realm_access.roles claims to granted authorities, for use in access decisionsjwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(jwt -> {Object groups = jwt.getClaims().get("cognito:groups");if (Objects.nonNull(groups)) {return ((List<?>) groups).stream().map(roleName -> "ROLE_" + roleName).map(SimpleGrantedAuthority::new).collect(Collectors.toList());} else {return new ArrayList<>();}});return jwtAuthenticationConverter;}
}

完整的示例代码可以从我的Github上下载。

其他方案

除了采用OAuth的授权码模式，还可以选择简单模式，将登录以及令牌的获取交给前端，API Gateway只作为资源服务器，而后端的微服务则只对API Gateway开放访问。前端是本地应用（Native Application）的情况下，这样做是十分可取的。本地应用是指安装在设备上的客户端软件，区别于基于浏览器的SPA，因为基于浏览器的应用代码是公开的，令牌容易泄露，所以不适用简单模式。

[微服务/API时代的前端开发] BFF超入门--Netflix、Twitter、Recruit选择BFF的理由
[微服务/API时代的前端开发] BFF入门--5个实用的BFF使用案例
[微服务/API时代的前端开发] BFF进阶--实践中常见的3种反模式

参考链接

OAuth2.0
Spring Cloud Gateway with OpenID Connect and Token Relay
Understanding Amazon Cognito user pool OAuth 2.0 grants
Have Routes Support Multiple URIs?
Spring cloud samples: sample-gateway-oauth2login
JavaDoc: org.springframework.cloud.gateway.webflux.ProxyExchange

如果你觉得本文有点意思，不妨点个赞吧。

关注我的微信公众号【清朝程序猿】除了技术我还会聊点日常，有些话只能悄悄说~

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

DockerKubernetes ❀ Docker镜像与容器相关操作基础命令详解
文章目录1、Docker信息查询1.1 版本信息1.2 详细信息1.3 帮助命令2、镜像命令2.1 本地镜像查看2.2 镜像搜索2.3 镜像拉取2.4 镜像删除3、容器命令3.1 新建并启动容器3.2 列出所有运行的容器3.3 退出容器3.4 启动/重启/停止/杀死/删除/重新登录容器1、Docker信息查询 1.1 版本信…...
2024/4/5 3:03:58
基于晏殊几何学涡旋激波模型仿真的光效和模型解析原理一
...
2024/4/13 16:38:27
LeetCode - Easy - 28 - 实现strStr()
原题链接 : 实现strStr() 哎呀这题呀… 给我看到怀疑人生… 开门见山哈, 这题有三种解法, 如果作为简单题来看, 这题的思路就比较简单粗暴简单题的思路 : 题目的意思是要在原串里找到目标串,并返回原串的首下标, 最简单的思路就是将原串长度为目标串的子串都依次和目标串比较…...
2024/4/13 16:38:37
Pytorch预测
本次测试输入 dog.png # Coding by ajupyter from PIL import Image from torch import nn import torch import torchvisionclass Model(nn.Module):def __init__(self):super(Model, self).__init__()self.model nn.Sequential(nn.Conv2d(in_channels3, out_channels32, k…...
2024/4/13 16:38:22
MXY---数据库
数据库数据库：数据库就是管理数据的仓库数据库分类： 1）关系型数据库：Orcale、MYSQL 2）非关系型数据库：Redis 关系、非关系型数据库： 1）关系型数据库，建立在紧密关系基…...
2024/4/5 3:03:53
JVM GC
文章目录如何判断对象可以被回收？1.引用计数2. 可达性分析（Reachability Analysis）GC算法和GC收集器Serial（串行）收集器ParNew（Parallel New Generation）收集器Parallel Scavenge收集器Serial O…...
2024/4/17 23:20:46
动态规划简单 NC245 杨辉三角(一)
NC245 杨辉三角(一) 描述给定一个非负整数 num ，生成杨辉三角的前 num 行。杨辉三角中，每个数是左上方和右上方的数之和。数据范围： 1 \le num \le 30 \1≤num≤30 例如当输入为4时，对应的返回值为[[1],[1,1],[1,2,1],[1,3,3…...
2024/4/15 3:12:09
计算机科学类专升本复习之“C语言指针变量的定义和使用”详解（初稿）
C语言指针变量的定义和使用（精华） "数据"在内存中的"地址"也成为"指针"，如果一个变量存储了一份数据的"指针"，我们就称它为"指针变量"。在C语言中，允许用一个变…...
2024/4/14 4:55:59
你发年终奖了吗？
年终奖是很多人的快乐，也是很多人的痛。当然快乐与你有没有缘，就要看快乐与你有没有缘了，这是个玄学。在一些公司是如果一个人有年终奖其他人就会都有，在一些公司是根据你整年的表现来的。比如有这么一家公司： …...
2024/4/7 20:39:06
计算机网络：王道考研
前言计算机考研课程408包括计组、计网、操作系统、数据结构与算法，计组在21年就补完了——计算机组成原理：最详细笔记！，数据结构与算法、操作系统都看了，就差计网这个八股文,系统的听了一遍考研课程《王道-计算机网络…...
2024/4/13 16:39:13
计算机网络面试题总结
计算机网络面试题总结网络分层结构TCP/IP五层模型三次握手两次握手可以吗？四次挥手第四次挥手为什么要等待2MSL？为什么是四次挥手？TCP有哪些特点？TCP和UDP的区别？HTTP协议的特点？HTTP报文格式HTTP状态码有哪…...
2024/4/16 21:41:34
【LeetCode-SQL每日一练】—— 595. 大的国家
🎈写在前面 🙋‍♂️大家好呀，我是超梦。大家可以叫我小梦~ 小伙伴们都知道，不管是在学习中还是日常工作中，几乎天天是要跟数据库打交道的，为了更好的操作数据库，我们的SQL知识储备是必不可少的…...
2024/4/13 16:39:33
9，重载，继承抽象类的喂猫狗的案例
1 public static void main(String[] args) {Dog dog new Dog();Cat cat new Cat();Person person1 new Person();Person person2 new Person();Scanner sc new Scanner(System.in);OUT:while (true) {System.out.println("请作出选择：1，照顾猫…...
2024/4/13 16:39:38
专转本-大数据主要应用领域-笔记
大数据在农业领域的典型应用大数据理论和技术在农业上的应用和实践，是指运用大数据理念、技术和方法，解决农业或涉农领域数据的采集、存储、分析与应用等一系列问题，然后以此来指导农业生产经营。这里所讲的农业大数据就是指以大数据分析为基础去解决一系列问题。典型的一些…...
2024/4/18 1:51:07
推力圆锥滚子轴承的全球与中国市场2022-2028年：技术、参与者、趋势、市场规模及占有率研究报告
本文研究全球与中国市场推力圆锥滚子轴承的发展现状及未来发展趋势，分别从生产和消费的角度分析推力圆锥滚子轴承的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国…...
2024/4/13 16:41:10
在线SVG在线编辑器
在线SVG在线编辑器在线SVG在线编辑器 SVG在线编辑器,在线编辑SVG,SV辑器,在线编辑SVG,SVG在线编辑器,在线编辑SVG https://tooltt.com/svg/...
2024/4/19 14:31:34
1017 Queueing at Bank (25 分) （模拟 23/25
添加链接描述 /* 每个客户最多被服务1小时给的小时分钟秒超过17.00.01不被服务提前来要等待保留一位小数 */ #include<bits/stdc.h> using namespace std; const int N1e49; struct node {int st,nex; }t[N]; bool cmp(node a,node b){return a.st<b.st; } pr…...
2024/4/13 16:39:23
人脸识别外部接口调用
本文代码及数据集来自《Python大数据分析与机器学习商业案例实战》要在Python中调用百度人脸识别接口，得先安装baidu-aip库。可以在Windows命令行窗口中输入并执行“pip install baidu-aip”命令，或者在JupyterNotebook中输入并运行“!pip install baid…...
2024/4/18 14:09:33
redis夺命连环问6--主库故障了从库该怎么办，数据还能保持一致吗，Redis 还能正常提供服务吗？
目录主库故障了从库该怎么办，数据还能保持一致吗，Redis 还能正常提供服务吗？先谈哨兵机制哨兵咋监控的呢？如何选定新主库呢？哨兵集群是怎么建立的？哨兵集群由哪个实例来执行主从切换呢？主库故障…...
2024/4/13 16:39:03
基于百度AL平台人体检测实现人体关键点检测代码
本文通过OpenCV模块调用摄像头，利用百度开放的人体关键点检测API，实现了实时对人体的关键点检测。一、百度API获取使用百度的API，首先要在百度AI的官网上注册帐号，然后在人体关键点识别功能下创建一个应用，即可得到…...
2024/4/13 16:39:13

微服务实战：基于Spring Cloud Gateway + AWS Cognito 的BFF案例

背景