Q&A
前提
ECSをターゲットにしたALBをオリジンにして、CloudFrontをたてました。
ECSではfargateでAuth0を利用したBearer認証があるAPIを立てています。
APIはバージニアリージョンにあるため、アクセス速度が遅い、速度を改善したい。
一人目のユーザーがアクセスした後、二人目以降はオリジンに情報を取りに行かなくていいようにしたい。
実現したいこと
- オリジンには認証情報が渡るようにしたいが(リクエストに Authorization ヘッダーが含まれて、ディストリビューションは Authorization ヘッダーをオリジンに転送する形。)
- ユーザー⇔CloudFrontの間ではキャッシュ単位でAuthorizationを渡さない形にしたい
- バックエンドに影響を出したくないので、できればCloudFront側だけで実現したい
他にやり方はあるのか、知見のある方に教えて頂きたいです。
発生している問題・エラーメッセージ
ドキュメントを見る限りでは、オリジンリクエストポリシーを使用して Authorization ヘッダーを転送することはできません。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/cloudfront-authorization-header/
キャッシュポリシーにAuthorizationヘッダーを含める形にするしかなさそうですが
ユーザー毎に認証情報が違うので、毎回キャッシュが無い状態となり、オリジンに通信しないといけないような状況を避けたい。
二人目以降はアクセスを早くできるようにしたいため。
試したこと
- キャッシュポリシーにAuthorizationヘッダーを含める→キャッシュされない
-オリジンへのカスタムヘッダーにAuthorizationヘッダーとBearerトークンを含める設定にする→キャッシュされない
補足情報(FW/ツールのバージョンなど)
他によさそうな情報を見つけられなかったのですが
不足情報あったらすみませんが教えてください、宜しくお願い致します。
回答1件
0
ベストアンサー
自分の理解が足りず申し訳ないのですが、以下の通りでしょうか?
- ユーザーのキャッシュがない場合はオリジンにアクセスしキャッシュを作成
- キャッシュがあればオリジンにはアクセスせず、キャッシュを返す
- ユーザーAのキャッシュがありユーザーBがアクセスしてきた場合ユーザーAのキャッシュを返す(こちらセキュリティ的に大丈夫ですか?)
上記の場合、以下の方法が考えられるかと思います
- 誰でも同じデータを返すので認証不要のAPIにする
または
- 全ユーザーが同じデータを使うAPIとユーザー固有のデータを返すAPIの認証方法を分ける
- 全ユーザーが同じデータを使うAPIに使用する認証情報は一定時間同じトークンを返しそれを認証に使う
- ユーザー固有の場合はauth0の認証を使用する
こちらの場合は2の部分だけキャッシュが効きませんが、、、
投稿2022/09/18 14:25
総合スコア177
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2022/09/19 14:43
2022/09/22 06:41