AWS Lambda - 无法在 lambda 函数中获取 Cognito 用户数据

Question

我正在尝试在 lambda 函数中获取 Cognito 用户数据。我正在尝试使用body mapping template as 将其传递给 lambda

{
    "cognito-authentication-provider" : "$context.identity.cognitoAuthenticationProvider",
    "cognito-authentication-type" : "$context.identity.cognitoAuthenticationType",
    "cognito-identity-id" : "$context.identity.cognitoIdentityId",
    "cognito-identity-pool-id" : "$context.identity.cognitoIdentityPoolId",
}

但是，在 lambda 函数中，数据为空

'cognito-authentication-provider': '',
'cognito-authentication-type': '',
'cognito-identity-id': '',
'cognito-identity-pool-id': ''

请帮我解决这个问题。

谢谢...

编辑： 添加 Cognito 身份验证 dev-dummy-auth 为

Answer 1

以 Dilip Kola 的回答为基础。对于您使用的授权方法，您尝试访问的上下文变量似乎不存在。

我认为将令牌信息传递给底层 Lambda 服务的唯一方法是将整个令牌向下传递并在 Lambda 中使用适合您所使用语言的库打开它。

您可以通过在您的身体映射模板中添加一行来传递令牌。

{"Authorization" : "$input.params().header.get('Authorization')"}

Cognito ID 令牌采用 JWT（JSON Web 令牌）的形式。 ISS 声明的格式为 https://cognito-idp.{region}.amazonaws.com/{userPoolId}。

更新 - 包含有关用户组的信息

Cognito 身份令牌不包含颁发该令牌的用户的用户组。

要限制对某些用户组中的个人进行 API 访问，您必须使用 Cognito 联合身份将身份验证方法更改为 AWS_IAM Authorizer。

另一种方法是使用自定义属性，例如 Cognito 中的角色，将某些用户标记为管理员、用户等（因为这些可以在 id 令牌中传递），然后评估该自定义属性。如果你打算走这条路，我会转向自定义 Lambda 授权方的身份验证方法。这样，您可以在验证令牌的同时检查自定义属性，因此如果用户没有正确的访问权限，请求永远不会到达后端。

Answer 2

https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-mapping-template-reference.html#context-variable-reference 您指的是使用 cognito 身份池凭据的 API 请求的上下文变量，当您使用 cognito 用户池授权方时，这些变量将不可用。