将 Cognito 与 C# 无服务器应用程序一起使用

Question

我想创建一个使用 AWS Cognito 进行身份验证的 AWS 无服务器应用程序。我的出发点是 Visual Studio 2017 中 C# 的 AWS Serverless Application with Tests (.NET Core) 模板。部署时，模板会创建一些 Lambda 函数并设置 AWS API Gateway，以便我可以通过 REST 请求连接到 Lambda 函数。这行得通。

我在 AWS Cognito 中创建了一个用户池，以及一个允许用户使用 AWS Cognito 登录的 javascript 客户端（单页应用程序）。在 javascript 客户端中，我能够连接到 AWS Cognito 并以 JWT 的身份获取 ID、访问和刷新令牌。我还可以在 Authorization: Bearer eyblablabla... 标头中将这些令牌发送到后端（AWS 无服务器应用程序）。因此，javascript 客户端身份验证和 AWS Cognito 设置似乎可以工作。我还在 AWS API Gateway 中设置了一个指向 AWS Cognito 用户池的授权方。

我的问题如下：后端似乎不知道授权标头。在检查请求时，我没有收到用户的任何索赔。我对获得sub 声明特别感兴趣，以便我可以识别用户。另外，我希望 API 网关为特定方法自动发送 Unauthorized 响应，但我不知道如何设置。

作为 Lambda 函数签名的一部分，我得到一个 APIGatewayProxyRequest 请求对象。显然request.RequestContext.Authorizer.Claims 应该包含用户声明，但.Authorizer 为空。

我能够获取我从 javascript 客户端发送的任何 JWT 并读取请求标头，因此我可以解析令牌以获取用户声明。但我认为我的设置一定有问题，因为 .Authorizer 没有被填充。

到目前为止，我发现的唯一建议涉及 serverless.yml 或 Swagger 模板文件中的内容，它们都不是 AWS Serverless Application VS2017 模板的一部分。相反，我有一个 serverless.template JSON 文件，并且没有明显的方法可以向该文件添加身份验证/安全设置。

到目前为止，我的代码与 VS2017 中的 AWS 无服务器应用程序模板相同。

任何帮助将不胜感激。

Answer 1

您需要在 API 方法集成请求中启用使用 Lambda 代理集成。 然后，您的 APIGatewayProxyRequest 对象将如下所示：

{
"Resource": "/test",
"Path": "/test",
"HttpMethod": "GET",
"Headers": {
    "Accept": "*/*",
    "accept-encoding": "gzip, deflate",
    "Authorization": "your token",
    "cache-control": "no-cache",
    "CloudFront-Forwarded-Proto": "https",
    "CloudFront-Is-Desktop-Viewer": "true",
    "CloudFront-Is-Mobile-Viewer": "false",
    "CloudFront-Is-SmartTV-Viewer": "false",
    "CloudFront-Is-Tablet-Viewer": "false",
    "CloudFront-Viewer-Country": "US",
    "Host": "xxxxxxx.execute-api.us-east-1.amazonaws.com",
    "Postman-Token": "08820d50-c5d4-498a-bfee-c76994bb91f1",
    "User-Agent": "PostmanRuntime/7.4.0",
    "Via": "1.1 dd169cfdbbafbb3da513bede6bc6640e.cloudfront.net (CloudFront)",
    "X-Amz-Cf-Id": "89ftx9aaVK0k2KOFu-5QESLXzGUGAw17gNCCY03in-hF2hd-LvRhIg==",
    "X-Amzn-Trace-Id": "Root=1-5c125bb9-1e8b9fea8d1beb20147a24d2",
    "X-Forwarded-For": "50.196.109.21, 70.132.33.133",
    "X-Forwarded-Port": "443",
    "X-Forwarded-Proto": "https"
},
"QueryStringParameters": null,
"PathParameters": null,
"StageVariables": null,
"RequestContext": {
    "Path": "/test_oauth/token",
    "AccountId": "xxxxxxxxxxxxx",
    "ResourceId": "luy67k",
    "Stage": "test_oauth",
    "RequestId": "5455133d-fed9-11e8-8f41-ef35907ced2d",
    "Identity": {
        "CognitoIdentityPoolId": null,
        "AccountId": null,
        "CognitoIdentityId": null,
        "Caller": null,
        "ApiKey": null,
        "SourceIp": "50.196.109.21",
        "CognitoAuthenticationType": null,
        "CognitoAuthenticationProvider": null,
        "UserArn": null,
        "UserAgent": "PostmanRuntime/7.4.0",
        "User": null
    },
    "ResourcePath": "/token",
    "HttpMethod": "GET",
    "ApiId": "8xxg9ez961",
    "Authorizer": {
        "claims": {
            "sub": "4560ac4b-54a0-4184-8831-e3cb2583726b",
            "aud": "xxxxxxxxxxxxxxxx",
            "email_verified": "false",
            "event_id": "467633ad-fed9-11e8-88ff-25be6cd15697",
            "token_use": "id",
            "custom:ApplicationId": "12345",
            "auth_time": "1544706978",
            "iss": "https://cognito-idp.us-east-1.amazonaws.com/us-east-xxxxxxxxx",
            "cognito:username": "username",
            "exp": "Thu Dec 13 14:16:18 UTC 2018",
            "iat": "Thu Dec 13 13:16:18 UTC 2018",
            "email": "user@email.com"
        }
    }
},
"Body": null,
"IsBase64Encoded": false
}

请注意，如果您的 API 网关设置为使用 id 令牌与访问令牌（这在使用自定义 OAuth 范围或不在您的 API 网关设置中是不同的），您会发现您会得到不同的值。您还会发现结果取决于您的用户池应用客户端的设置 - 启用了哪些允许的 Oauth 范围以及为您的应用客户端启用了哪些属性。