【发布时间】:2020-06-03 16:32:31
【问题描述】:
我正在尝试使用 Amplify Auth 来实现 OpenID Connect 隐式流程,以便为许多 React 客户端提供 SSO。
我已经能够使用 Cognito 托管 UI 进行此操作,但这需要其他应用程序用户单击按钮确认登录才能进行身份验证。当用户登录一个站点并导航到另一个站点时,我希望它是无缝的ie,如果他们与身份验证提供程序有会话,他们会自动进行身份验证。
为了尝试实现这一点,我设置了一个单独的 Amplify 应用程序,该应用程序使用 React Authenticator 组件。
我能够对此进行身份验证并重定向回客户端。但是 id_token 不包含 at_hash 或 nonce 声明。据推测,at_hash 丢失是因为身份验证提供程序应用程序在使用 Cognito 进行身份验证时未发送token id_token 的responseType。 nonce 丢失了,因为我还没有找到将它传入的方法。
有没有办法让 Amplify Authenticator SignIn 请求带有
at_hash声明的id_token?是否可以将
nonce值传递给id_token声明?
注意 我正在努力遵守:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitFlowSteps 专门针对这部分:3.2.2.10。身份令牌
import React from 'react';
import { Authenticator, ConfirmSignIn, SignIn } from 'aws-amplify-react';
import Amplify, { Auth } from 'aws-amplify';
import awsconfig from './aws-exports';
Amplify.configure(awsconfig);
const getSearchParams = () =>
window.location.search.substr(1);
const getValueFromSearchParam = (key) =>
new URLSearchParams(getSearchParams()).get(key);
const getRedirectUri = () => {
const redirect_uri = getValueFromSearchParam('redirect_uri');
return redirect_uri ? decodeURI(redirect_uri) : null;
};
const Login = () => {
const handleAuthStateChange = (state) => {
if(state === 'signedIn') {
const redirect_uri = getRedirectUri();
const state = getValueFromSearchParam('state');
if(redirect_uri === null) {
throw new Error('No redirect_uri provided');
}
Auth.currentSession().then(currentSession => {
const id_token = currentSession.idToken.jwtToken;
const access_token = currentSession.accessToken.jwtToken;
const redirect = `${redirect_uri}#access_token=${access_token}&id_token=${id_token}&state=${state}`;
window.location.replace(redirect);
}).catch(err => console.error(err));
}
};
return (
<Authenticator
hideDefault={true}
onStateChange={handleAuthStateChange}
>
<SignIn />
<ConfirmSignIn/>
</Authenticator>
);
};
【问题讨论】:
标签: amazon-web-services authentication amazon-cognito openid-connect aws-amplify