Hasura 建议开发人员使用无服务器函数作为事件触发器。事件触发器的工作方式是,当发出事件时,将调用特定的无服务器函数。但是,尽管 Hasura 处理身份验证和授权,但无服务器功能却没有。
我的解决方案是:
关于哪个最好的想法?我个人认为第二个是最好的,但不知道能不能做到。
【问题讨论】:
标签: event-handling serverless eventtrigger hasura
我会推荐以下组合:
您可以检查supersecret 标头的存在并检查该值作为身份验证的一种方式。另请参阅IP,它是我的Hasura 云项目的IP 地址。这里我使用Pipedream 作为端点进行测试。
【讨论】:
X-API-Key 作为 hasura 的标题,如下所示 [{"name": "X-API-Key","value": "X-API-Key","type": "env"}]
如果我理解正确,您的解决方案可以解决不同的问题。
从无服务器函数验证用户(使用给定的会话 Hasura 发送的变量)。
如果您想验证导致事件触发的用户的身份,您最好使用操作。你可以secure actions easily in console。
限制对无服务器功能的访问(只有 Hasura API 可以访问)。 像cors这样的东西。
如果您想限制对无服务器功能的访问,您有多种选择,具体取决于您的提供商。您的选择包括:
添加一些特殊的标头并在每个函数中验证 this answer
将函数隐藏在代理后面,它将执行验证
如果可以,请为您的函数指定允许的主机列表(您的 hasura 实例正在运行的位置)
【讨论】: