添加无服务器 api 作为资源服务器 AWS cognito AWS api 网关

Question

您好，我正在使用使用 aws api gateway lambda 代理、golang 和 aws cognito 的无服务器 API

   events:
      - http:
          path: myendpoint
          method: get
          cors: true
          authorizer:
            name: my-authorizer
            arn: {COGNITO_POOL_ARN}

plugins:
  - serverless-domain-manager

custom:
  customDomain:
    domainName: mydomain.com
    basePath: mybasepath
    stage: ${self:provider.stage}
    createRoute53Record: true

这允许我使用 ID 令牌向 mydomain.com/mybasepath/myendpoint 发出请求，我想让它更标准并使用访问令牌。

它不会获取访问令牌，API Gateway 授权者会反弹它。

我将此作为 Resource Server 添加到 Cognito 用户池设置中

在App client settings 中我检查了应用程序客户端的资源

我注销为用户创建一个新会话，新令牌，我会得到一个 401 Unathorized 我认为我正确地遵循了文档，因为它是 here 可能我遗漏了其他东西，或者可能是因为它是一个无服务器 API，它是我需要的不同设置。

非常感谢任何帮助或指导。

Answer 1

如果您只想使用 cognito 保护您的 api，则无需创建范围。作用域不会向用户授予权限，而是将权限授予应用程序。

API Gateway Cognito Authorizer 基本上以三种模式运行：

1. 同时允许 ID 令牌或访问令牌（资源上没有设置令牌验证和范围）
2. 允许 ID 令牌（令牌验证设置为 aud 声明/应用程序 ID 并且没有在资源上设置范围）
3. 允许访问令牌（未设置令牌验证，在资源上设置范围）

这是每种情况下以下情况的结果：

1. ID 令牌和访问令牌均由 Cognito 签名密钥签名，因此授权方无法区分它们。
2. 只有 ID 令牌包含 aud（受众）声明才能执行令牌验证。
3. 只有访问令牌包含 scope 声明才能对其执行验证。

希望能解决问题。除非您知道自己的用途，否则不要对示波器过于执着。