无服务器

Amazon API Gateway 设计模式 - REST API 与 HTTP API 的选型标准

明确 HTTP API 与 REST API 的选型标准,介绍 Cognito 和 Lambda Authorizer 的认证模式以及限流设计的实践方法。

約 1 分で読めます

REST API 与 HTTP API 的选型标准

API Gateway 提供 REST API 和 HTTP API 两种类型。HTTP API 是 2019 年推出的新类型,覆盖了 REST API 的主要功能,同时价格最多便宜 71%,延迟也更低。如果主要用途是代理 Lambda 函数或 HTTP 端点,应选择 HTTP API。需要选择 REST API 的场景包括:通过 API 密钥和使用量计划向第三方公开 API、请求/响应转换(映射模板)、与 WAF 集成、边缘优化端点、请求验证功能。新项目建议默认使用 HTTP API,仅在需要 HTTP API 不具备的功能时才考虑 REST API。

认证与授权模式

API Gateway 支持多种认证方式。Cognito 用户池 Authorizer 是由 API Gateway 自动验证 Cognito 签发的 JWT 令牌的方式,无需自行实现令牌验证逻辑,是最便捷的认证引入方式。Lambda Authorizer 是通过 Lambda 函数实现自定义认证逻辑的方式,适用于自定义令牌格式、与外部 IdP 集成、基于 IP 地址的控制等需要灵活授权逻辑的场景。Lambda Authorizer 的结果可缓存,设置 TTL 可减少重复的认证请求。IAM 认证使用 AWS SigV4 签名验证请求,适用于 AWS 服务间的内部通信。

限流与使用量计划

API Gateway 的限流基于令牌桶算法实现。账户级别的默认上限为每区域 10,000 请求/秒,突发为 5,000 请求。可在阶段级别和方法级别设置更细粒度的限制,防止特定端点使后端过载。使用量计划是 REST API 特有的功能,可为每个 API 密钥设置每日和每月的请求上限及限流速率。向外部合作伙伴公开 API 时,可为不同合作伙伴应用不同的速率限制。收到 429 Too Many Requests 响应的客户端,建议实现指数退避重试。 如需全面学习 API 设计架构,请参考技术书籍 (Amazon)

API Gateway 定价

HTTP API 每百万请求约 1.00 美元,与 REST API 的 3.50 美元相比便宜约 71%。WebSocket API 每百万消息约 1.00 美元,加上连接时间计费(每百万分钟约 0.25 美元)。启用 REST API 缓存后,按缓存内存大小按时计费(0.5 GB 约 0.02 美元/小时)。合理设置 Lambda Authorizer 的缓存 TTL,减少认证请求的 Lambda 调用次数,也是成本优化的有效手段。免费额度在前 12 个月内,HTTP API 和 REST API 各包含每月 100 万请求。

总结

API Gateway 作为无服务器架构的入口,在 API 层统一管理认证、限流和监控。以 HTTP API 作为默认选择,在需要企业级功能时选择 REST API,通过这一判断标准可以优化成本和延迟。

相关服务

Amazon API Gateway轻松创建、发布、管理和监控 API 的全托管服务AWS Lambda无需管理服务器即可运行代码的无服务器计算服务Amazon Cognito为 Web 和移动应用程序提供认证、授权和用户管理的服务

相关文章

使用 AWS Step Functions 设计工作流编排 - Standard 与 Express 的选择明确 Standard 工作流与 Express 工作流的选择标准,介绍 Retry/Catch 的声明式错误处理和分布式 Map 的大规模并行处理。使用 AWS AppSync 构建实时 GraphQL API - 订阅与解析器设计通过基于 WebSocket 的订阅实现实时通知,介绍使用 DynamoDB 和 Lambda 管道解析器整合多数据源的设计模式。使用 Amazon Cognito 实现用户认证 - User Pool 与 Identity Pool 的设计详解 Cognito User Pool 的用户认证、Identity Pool 的 AWS 资源访问以及社交登录的集成。

本主题的更多内容

Amazon EFS 与 Lambda/ECS 的集成模式 - 无服务器中的共享文件系统活用将 EFS 挂载到 Lambda 函数和 ECS 任务以活用共享文件系统。介绍访问点设计和性能优化。Lambda 的 15 分钟限制为何是 15 分钟 - 无服务器设计约束背后的合理性从 Firecracker 的设计理念和多租户运维角度,解析 Lambda 最大执行时间 15 分钟、内存上限 10GB、负载 6MB 等各项限制为何设定为这些值。Lambda 冷启动的本质与基于实测的优化策略从 Firecracker MicroVM 的生命周期解析 Lambda 冷启动的发生机制,通过 SnapStart、Provisioned Concurrency、函数设计三个维度比较基于实测数据的优化方法。使用 AWS Lambda 开始无服务器开发 - 函数设计与事件源活用解析 Lambda 的函数设计、事件源映射、冷启动对策、Powertools 的活用。Lambda 并发 1,000 的幕后 - Firecracker 预热池与 Worker Manager 的机制解析 Lambda 在默认并发数 1,000 限制内管理微型虚拟机的机制、预热池的复用策略、Worker Manager 的放置决策、降低冷启动率的内部优化。无服务器 API 构建 - 用 Amazon API Gateway 实现可扩展的 API 基础设施解析利用 Amazon API Gateway 和 Lambda 构建无服务器 API 的方法。状态机设计 - 使用 Step Functions 实现工作流编排解析利用 AWS Step Functions 的状态机设计方法,介绍可视化工作流、错误处理以及通过 Lambda 集成实现的工作流编排。使用 AWS Step Functions 设计工作流编排 - Standard 与 Express 的选择明确 Standard 工作流与 Express 工作流的选择标准,介绍 Retry/Catch 的声明式错误处理和分布式 Map 的大规模并行处理。

相似的文章与服务

无服务器 API 构建 - 用 Amazon API Gateway 实现可扩展的 API 基础设施解析利用 Amazon API Gateway 和 Lambda 构建无服务器 API 的方法。Amazon API Gateway创建、发布和管理 REST API、HTTP API、WebSocket API 的全托管服务,作为 Lambda 和其他 AWS 服务的前端入口AWS API 限流机制 - 令牌桶算法与 429 错误的本质解析 AWS API 速率限制通过令牌桶算法实现的机制、突发容量的概念、各服务限制值的差异,以及避免限流的实践对策。用户认证的实现 - 使用 Cognito 构建安全的认证基础设施解析利用 Amazon Cognito 设计和实现用户认证基础设施的方法,介绍用户池、ID 池以及外部身份提供商集成的认证流程构建方式。