我正在开发一个 React 项目,我想在其中使用 AWS Cognito 进行基于角色的身份验证。我的项目将拥有多个角色,例如超级用户、用户、管理员、超级管理员等,为此我创建了多个用户池。就像每个角色有 1 个用户池一样,一切都正常工作,但结果证明我可以通过在其中创建组来在单个用户池中实现相同的功能。
所以,问题是现在我正在使用“aws-cognito-identity-js”库来验证用户身份。但是在那个库中我找不到任何与 Userpool Groups 相关的代码,并且我试图找到另一个与 Userpool Groups 相关的库,但我找不到任何代码。那么,如何将 Groups Logic 集成到我的 React 应用程序中?!
【问题讨论】:
标签: amazon-web-services amazon-cognito role-based-access-control
当您登录到用户池时,您会获得一个 ID-Token。此 ID 令牌的有效负载还包含用户所属的组。
let
[header, payload, signature] = idtoken.split("."),
jsonPayload = JSON.parse(atob(payload)),
groups = jsonPayload["cognito:groups"]
当然,您也可以使用您最喜欢的 JWT 库(甚至amazon-cognito-identity-js 包含一些内容)来验证和解析 ID 令牌并从中提取所需的声明。
编辑
amazon-cogito-identity-js 在用户自行注册期间不能用于管理群组。恕我直言,用户可以在没有管理干预的情况下将自己添加到组(这可能对您的应用程序有一定的安全影响),这将是违反直觉和安全漏洞的。
如果你真的想让新创建的用户选择他所属的组,你可以通过用户池上的Post Confirmation Trigger 来做到这一点。
在注册用户时添加所需的组名作为自定义属性。
一旦用户得到确认,就会执行确认后触发器(一个 lambda 函数)。此 lambda 函数必须具有执行AdminAddUserToGroup 命令所需的权限。
在触发器(接收用户属性作为参数)内执行上述AdminAddUserToGroup 命令。
【讨论】: