我创建了一个 AWS API Gateway 集,其身份验证 = AWS_IAM 来调用 Lambda 函数。现在,要调用此 API,我知道我需要对请求进行签名,并且如 AWS 文档中所述,正确的方法是添加使用 AWS Signature V4 计算的 Authorization 标头,该标头需要 access_key 和 secret_key。 在我的客户端,用户首先使用 AWS Cognito 进行身份验证并接收 JWT 令牌(id 令牌访问令牌和刷新令牌),但我找不到 access_key/secret _key 在其中。如何根据从 AWS Cognito 收到的令牌计算 AWS Signature V4?
【问题讨论】:
标签: aws-api-gateway amazon-cognito
我相信你不能(肯定有 99,99999)!
请确认您正在使用 AWS Cognito 用户池对您的用户进行身份验证。您可能是因为 Cognito 用户池是提供 JWT 的服务。在这种情况下,令牌将确保接收它的服务(API 网关)您的用户已在特定身份目录(用户池)中注册。您的服务应评估它是否会为在此特定目录中注册的用户提供对其资源的访问权,并提供声明(组、角色等)。
当您使用 AWS_IAM 保护您的 API Gateway 端点时,您是说只有 AWS 可以在其自己的身份目录(用户或角色)中识别的身份才能对资源执行操作。一般来说,在 Cognito 用户池中注册的用户不会被 AWS 视为有效身份。
要将 Cognito 用户池用户视为有效的 AWS 身份,您有两种选择:
1 - 将您的 AWS 账户配置为使用外部 Identity Providers and Federation。这不是一件简单的事情,而是针对不同用例的解决方案。综上,不要选这个。
2 - 使用另一个名为 Cognito Identity Pool 的 AWS 产品(名称容易引起混淆)。此服务评估该上下文中是否允许 JWT 令牌(您在身份池中对其进行配置)。如果是来自已注册身份目录的有效令牌,Cognito 身份池会将您的 JWT 令牌交换为与特定 IAM 角色关联的 AWS 访问密钥、AWS 密钥和 AWS 会话令牌。然后,您可以使用这些密钥签署您的请求。但请记住,通过此更改,您将失去在 API Gateway 和 API Gateway 调用的下游服务中识别特定用户的能力。 如果您需要在下游服务中包含 JWT 令牌,则可以通过一些额外的努力来完成。你在这里找不到方法:https://stackoverflow.com/a/57961207/6471284
【讨论】: