我有一个运行 Node.js Express 后端的 EC2 实例,该后端控制对 RDS 实例的 CRUD 操作。我正在做一个移动应用程序客户端(我通过 cognito 使用客户端 sdk 对用户进行身份验证)。对我的移动应用程序用户进行身份验证以便只有经过身份验证的用户才能访问我在 EC2 中运行的 Node.js Express 函数的最佳方法是什么?基本上是在寻找类似 IAM Lambda 身份验证的东西(但对于这个服务器应用程序,而不是无服务器架构)。
【问题讨论】:
标签: amazon-web-services amazon-ec2 amazon-iam rds
对我的移动应用用户进行身份验证的最佳方法是什么,以便只有经过身份验证的用户才能访问我在 EC2 中运行的 Node.js Express 函数
使用 Cognito 进行身份验证后,您应该能够在用户通过身份验证后获得访问令牌(id 令牌和访问令牌)。
用户通过身份验证后,移动客户端将获取令牌,请参阅https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html。这个令牌可以随每个请求一起发送到 nodejs 服务。请注意令牌有一个过期时间,当令牌过期时客户端需要再获取一个。
令牌包含用户身份、颁发者、过期时间和(Cognito)用户组
服务必须验证令牌(颁发者、过期、签名)并根据验证信任(或不信任)令牌。
验证示例:https://github.com/kjur/jsrsasign/wiki/Tutorial-for-JWT-verification) 在此示例中,公钥是从证书中读取的。 Amazon 仅提供公钥属性 (e,n) https://aws.amazon.com/premiumsupport/knowledge-center/decode-verify-cognito-json-token/,因此您必须自己完成公钥,例如 https://github.com/rzcoder/node-rsa
编辑:更详细的说明
【讨论】: