在我的 react 项目中,我使用 AWS Cognito 用户池进行用户管理,对于用户身份验证,我使用 AWS Cognito idToken。 90 分钟后会话将过期,然后我需要用新的 idToken 刷新。如何使用 amplify-js 在 AWS Cognito 中处理刷新令牌服务。我试过Auth.currentSession()我会每1小时打电话一次,但它对我不起作用。
【问题讨论】:
标签: amazon-web-services amazon-cognito aws-amplify
致电Auth.currentSession() 应该可以解决您的问题。 Amplify-js 将刷新逻辑从您身上抽象出来。
在后台currentSession() 获取CognitoUser 对象,并调用其名为getSession() 的类方法。正是这种方法,它执行以下操作:
idToken、accessToken、refreshToken 和clockDrift。CognitoUser 类的 refreshSession() 方法,该方法与 AWS 身份提供程序通信以生成一组新令牌。你现在要做的就是:
Auth.currentSession()
Auth.currentSession() 以获取您发出的每个 http 请求的令牌。你可以使用这样的包装器:
const getAccessJwtToken = async () => {
// Auth.currentSession() checks if token is expired and refreshes with Cognito if needed automatically
const session = await Auth.currentSession();
return session.getAccessToken().getJwtToken();
};
最后,这个github 讨论还介绍了一种非常好的手动刷新令牌的方法,并介绍了您应该探索该选项的用例。
【讨论】:
经过长时间的努力,我找到了更新 AWS Cognito 刷新令牌的解决方案,为此我使用了amazon-cognito-identity-js
const AmazonCognitoIdentity = require('amazon-cognito-identity-js');
const CognitoUserPool = AmazonCognitoIdentity.CognitoUserPool;
componentWillReceiveProps(nextProps) {
let getIdToken = localStorage.getItem('idToken');
if(getIdToken !== null){
let newDateTime = new Date().getTime()/1000;
const newTime = Math.trunc(newDateTime);
const splitToken = getIdToken.split(".");
const decodeToken = atob(splitToken[1]);
const tokenObj = JSON.parse(decodeToken);
const newTimeMin = ((newTime) + (5 * 60)); //adding 5min faster from current time
//console.log(newTimeMin, tokenObj.exp)
if(newTimeMin > tokenObj.exp){
this.tokenRefresh();
console.log('token updated');
}
}
}
更新令牌方法
tokenRefresh(){
const poolData = {
UserPoolId : // Your user pool id here,
ClientId : // Your client id here
};
const userPool = new AmazonCognitoIdentity.CognitoUserPool(poolData);
const cognitoUser = userPool.getCurrentUser();
cognitoUser.getSession((err, session) =>{
const refresh_token = session.getRefreshToken();
cognitoUser.refreshSession(refresh_token, (refErr, refSession) => {
if (refErr) {
throw refErr;
}
else{
//this provide new accessToken, IdToken, refreshToken
// you can add you code here once you get new accessToken, IdToken, refreshToken
}
});
})
}
【讨论】:
只要会话处于活动状态(即用户正在进行 api 调用等),Amplify 就会自动保持会话新鲜。
如果您想强制会话保持活跃,即使他们没有积极使用您的 API,那么最简单的做法是定期调用 Auth.currentAuthenticatedUser()。
【讨论】:
amazon-cognito-identity-js 来做到这一点,但这对我也不起作用
Auth.currentAuthenticatedUser() 不会自动刷新会话(可能是因为这是一个昂贵的调用)。您将需要执行类似于@techie18 解决方案的操作来手动强制刷新(即不要等待 1 小时)。基本上,您必须获取当前会话的刷新令牌,然后将其传递给 refreshSession。
currentAuthenticatedUser 直到几天前才刷新令牌,但是由于 accessToken jwt 保持不变,这种情况不再发生。只有当我们使用 refreshSession 时它才再次起作用。此外,不清楚“必要时”是什么意思。
这会给你一个 AccessToken 和一个 idToken。
fetch("https://cognito-idp.<cognito-user-pool-region>.amazonaws.com/", {
headers: {
"X-Amz-Target": "AWSCognitoIdentityProviderService.InitiateAuth",
"Content-Type": "application/x-amz-json-1.1",
},
mode: 'cors',
cache: 'no-cache',
method: 'POST',
body: JSON.stringify({
ClientId: "<cognito-user-pool-client-id>",
AuthFlow: 'REFRESH_TOKEN_AUTH',
AuthParameters: {
REFRESH_TOKEN: "<cognito-refresh-toke>",
//SECRET_HASH: "your_secret", // In case you have configured client secret
}
}),
}).then((res) => {
return res.json(); // this will give jwt id and access tokens
});
【讨论】:
我使用了 'amazon-cognito-identity-js' 并在令牌每次过期时刷新它,它解决了我的问题,这里是棘手的 getJwtToken 部分的代码 sn-p:
getJwtToken() {
if (!this.activeUser) {
return null;
}
const signInUserSession = this.activeUser.getSignInUserSession();
const idToken = signInUserSession ? signInUserSession.getIdToken() : null;
if (!idToken || idToken.getExpiration() * 1000 <= Date.now()) {
if (!signInUserSession.isValid()) {
const refreshToken = signInUserSession.getRefreshToken();
return new Promise((resolve) => {
this.activeUser.refreshSession(refreshToken, (err, session) => {
if (err) {
resolve(this.logout());
}
this.activeUser.setSignInUserSession(session);
resolve(session.getIdToken().getJwtToken());
})
});
}
return Promise.resolve(idToken.getJwtToken());
}
return Promise.resolve(idToken.getJwtToken());
}
【讨论】: