我的 cognito 身份流程适用于开发人员认证的身份,并取回 AccessKeyId、SecretAccessKey 和 SessionToken(尽管我认为这不是必需的)。然后我使用这些凭据对我的 api-gatweay 进行身份验证,但我不断收到 403 Forbidden。 (我生成的凭据的基础角色具有完全访问权限)
我看到有一种方法可以使用自定义授权 lambda 来执行此操作,但我想知道是否还有其他方法可以执行此操作。我想知道这一点的原因是,如果我使用自己的个人访问权限和密钥对 api-gateway 的发布请求,它可以工作!!
【问题讨论】:
标签: amazon-cognito aws-api-gateway
您将无法使用自定义授权方来验证 AWS 签名。自定义授权方适用于非 AWS 身份验证解决方案。
另外,您需要在签署请求时使用 SessionToken,也许这就是问题所在。您的个人凭据有效,因为它们是长期的,但 Cognito 提供短期会话凭据。
如何使用会话令牌 -> http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#RequestWithSTS
如果您在 iOS、Android 或 JavaScript 中构建移动应用程序,从 API Gateway 生成的 SDK 具有内置签名器 -> http://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-generate-sdk.html
如果您在某个方法上启用了 AWS_IAM 授权,并且您正在使用 Cognito 凭证向该方法发出签名请求,那么如果签名存在问题,您应该会收到一条带有 403 响应的描述性错误消息。
【讨论】: