【发布时间】:2019-06-01 14:47:17
【问题描述】:
我将 AWS IAM 保护的 AWS API Gateway 与 AWS Cognito 身份池结合使用,类似于带有外部 (OpenId) 登录提供程序的 Enhanced Simplified Flow described by AWS。
通过以下方式检索凭据:
- 重定向到登录提供程序并在成功的用户身份验证后获取 Id-Token,
- 由 AWS Cognito 身份池授权 并分配经过身份验证的 IAM 角色,
- 接收凭证(accessKeyId、secretKey、sessionToken)并
- 在 aws 签名请求中使用这些凭证访问所有 AWS IAM 安全 api 端点工作正常。
问题出在注销过程中:
我如何确保在注销用户后,上述过程收到的凭证正确且及时不再可用来访问 AWS IAM 安全端点?
我在文档中看不到任何与此相关的内容,只是等待凭据过期不是一种选择,而且是一个非常严重的安全问题:
注销用户必须立即阻止用户访问 API-Gateway!
感谢您的帮助!
【问题讨论】:
标签: amazon-web-services aws-api-gateway amazon-cognito aws-iam