AWS Cognito / 从 sub 获取用户信息

Question

我有一个使用 AWS Cognito AWSMobileClient 的有效 iOS 应用程序，用户可以在其中使用 AWSAuthUI 登录和登录/注销。

接下来我想做的是：从另一个用户那里获得一个子（例如 7y873ff7-.....u9h4k）我想从另一个用户那里获取信息。

在网上搜索后，我似乎需要使用名为 ListUsers 的东西，但我不是 100% 有信心。任何人都可以确认这一点并给我一些关于我需要如何去做我想做的事情的提示吗？知道我正在使用 Swift。

......稍后更新帖子.......

以下是我在网上找到的示例；这是我整理的一些代码，作为开始的试验。

let getUsersRequest = AWSCognitoIdentityProviderListUsersRequest()

getUsersRequest?.attributesToGet = ["email"]
getUsersRequest?.userPoolId = "MY-POOL-ID"
getUsersRequest?.filter = "sub = \"SOME-USER-SUB\""

AWSCognitoIdentityProvider(forKey: "MY-POOL-ID").listUsers(getUsersRequest!,completionHandler: {
    (response, error) in
    print("OK, Here we are!")
})

但我从未看到消息：好的，我们到了！

所以我一定是做错了什么。当然 MY-POOL-ID 和 SOME-USER-SUB 是我从 AWS 控制台获取的真实数据。

Answer 1

您确实会使用ListUsers API。

Here 是它的 AWS iOS SDK 文档。您可以应用的过滤器之一是“sub”。

调用ListUsers 的用户必须分配一个角色，该角色将授予其访问该API 的权限。看看 this AWS blog post 的 JS 示例。

但是，您不能让每个人都列出池中的所有用户，这将是一个巨大的安全漏洞。列出所有用户的权限应保留给应用程序管理员，并且仅在需要时。相反，您可以在 AWS 上设置一个通过 API Gateway 调用的 Lambda 函数。该函数将 sdb 作为输入并返回电子邮件地址。附加到该函数的角色将使其有权为您的池调用 ListUsers。这将限制您的用户可以获得的关于其他人的信息量，但您的 Lambda 仍应运行检查以确保它没有被滥用。例如，如果用户 X 想要获取用户 Y 的电子邮件地址，则用户 Y 应该事先批准。

我不了解您的用例，但总的来说，允许任何人获取有关您应用的任何用户的信息都应该谨慎行事。用户之间的任何交互都应该对他们透明并得到同意。请记住，如果用户可以找到应用程序 ID 和秘密令牌，他们可以从您的应用程序外部登录到 Cognito。在授予用户访问任何内容的权限时，请考虑如何滥用它。您可能会意识到您应该重新考虑如何解决问题。