【问题标题】:Invalidate credentials on Logout with IAM secured AWS API Gateway使用 IAM 保护的 AWS API Gateway 在注销时使凭证无效
【发布时间】:2019-06-01 14:47:17
【问题描述】:

我将 AWS IAM 保护的 AWS API Gateway 与 AWS Cognito 身份池结合使用,类似于带有外部 (OpenId) 登录提供程序的 Enhanced Simplified Flow described by AWS

通过以下方式检索凭据:

  1. 重定向到登录提供程序并在成功的用户身份验证后获取 Id-Token,
  2. AWS Cognito 身份池授权 并分配经过身份验证的 IAM 角色,
  3. 接收凭证(accessKeyId、secretKey、sessionToken)并
  4. 在 aws 签名请求中使用这些凭证访问所有 AWS IAM 安全 api 端点工作正常。

问题出在注销过程中:

我如何确保在注销用户后,上述过程收到的凭证正确且及时不再可用来访问 AWS IAM 安全端点?

我在文档中看不到任何与此相关的内容,只是等待凭据过期不是一种选择,而且是一个非常严重的安全问题:

注销用户必须立即阻止用户访问 API-Gateway!

感谢您的帮助!

【问题讨论】:

    标签: amazon-web-services aws-api-gateway amazon-cognito aws-iam


    【解决方案1】:

    我们遇到了与您相同的问题,AWS 团队告诉我们,在注销/全局注销后无法立即撤销令牌。简而言之,注销只会使令牌无效,以防止仅在 Cognito 中使用,API GW 或 S3 等其他服务在那里检查令牌本身的令牌过期,而不是 ping Cognito 以进行用户状态验证。如果你设法解决了,请告诉我!

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2022-12-29
      • 2020-01-03
      • 2021-07-06
      • 2019-02-20
      • 2018-12-10
      • 2016-09-06
      相关资源
      最近更新 更多