我的主要问题是移动应用对用户进行身份验证的典型方式是什么?我知道 AmazonCognito 用于在您收到令牌后同步用户数据,但该令牌只是一组访问规则,对吧?这与特定用户无关(只是他们通常是经过身份验证的用户这一事实)。
但在此之前,需要有一种方法来验证用户注册的用户名/通行证,以便您可以检索令牌。在几乎所有的文档中,他们都使用 Facebook/Google/etc 作为第三方提供商的示例,并且有一个设置您自己的第三方提供商的示例,但这都需要您自己的后端来提供服务。 C
考虑到可能有很多用户尝试使用该应用程序并进行身份验证,在其他地方设置后端似乎不是一个坏主意吗?有没有办法将这部分也集成到 AWS 中,这样就没有自定义后端工作了?这通常是如何完成的?
站点节点:我目前正在使用 Android SDK。
谢谢:)
【问题讨论】:
标签: android authentication amazon-web-services mobile-application
AWS Cognito 有两个不同的用途。一种是按照您在问题中的描述同步数据。 另一种是帮助管理用户身份并在外部身份提供者(您自己的、Facebook、Google 或 Amazon)和 AWS 之间建立粘合剂。
这是高层次的工作流程。详情可至http://docs.aws.amazon.com/mobile/sdkforandroid/developerguide/cognito-auth.html
使用 AWS 控制台,创建 Cognito 身份池
将两个 IAM 策略关联到您的 Cognito 身份池。一种用于未经身份验证的用户,另一种用于经过身份验证的用户。最佳做法是向这两类用户授予最低权限。 AWS 控制台将帮助您完成这些步骤,并会提出合理的默认值。
在您的代码中,将您的 CognitoCredentialsProvider 对象初始化为 this
CognitoCachingCredentialsProvider credentialsProvider = new CognitoCachingCredentialsProvider(
myActivity.getContext(), // get the context for the current activity
"AWS_ACCOUNT_ID",
"COGNITO_IDENTITY_POOL",
"arn:aws:iam::AWS_ACCOUNT_ID:role/UNAUTHENTICATED_ROLE",
"arn:aws:iam::AWS_ACCOUNT_ID:role/AUTHENTICATED_ROLE",
Regions.US_EAST_1
);
在您的代码中,照常对您的用户进行身份验证(使用您自己的提供商或 Facebook、Google 或 Amazon)
当您收到身份提供者颁发的令牌时,请将其关联到 Cognito。 Cognito SDK 将透明地将此令牌换成临时 AWS 访问密钥,即服务客户端可以使用的密钥。
将凭据提供程序提供给您的服务客户端对象,例如
AmazonDynamoDB client = new AmazonDynamoDBClient(credentialsProvider);
这种方法允许您避免将自己的后端作为代理部署到 AWS 服务。大多数服务调用可以直接从移动应用程序进行,从而以低成本实现良好的可扩展性。
您自己的后端只需要卸载您的移动设备的一些计算任务,或者如果您想实现自己的身份提供程序并使其与 Cognito 交互(请参阅http://mobile.awsblog.com/post/Tx2FL1QAPDE0UAH/Understanding-Amazon-Cognito-Authentication-Part-2-Developer-Authenticated-Ident 的详细工作流程)
【讨论】: