注销时使 AWS Cognito 令牌无效

Question

我正在使用 Python 后端构建 Swift 应用程序，我想使用 AWS Cognoto 进行身份验证和注册流程。

目前，我正在使用以下代码登录

let user = pool?.getUser(email)
user?.getSession(email, password: password, validationData: nil)
    .continueWith { task in
        // handle error/success

        return nil
    }

池在上面被初始化，使用self.pool = AWSCognitoIdentityUserPool.default()调用。

在应用启动时，我正在检查用户是否已通过身份验证，并获取它的 access_token：

if AWSSignInManager.sharedInstance().isLoggedIn {
    if let user = pool?.currentUser() {
        user.getSession()
            .continueWith { task in
                token = task.result?.accessToken?.tokenString

                return nil
            }
    }
}

我正在将此令牌传递给后端。在后端，我通过 Python Warrant 库获取用户数据：

from warrant import Cognito

u = Cognito("id", "key", user_pool_region="us-east-1")
u.access_token = "token"

res = u.get_user(attr_map={"sub": "user_id", "email": "email"})

如果令牌有效，我将获取用户的数据，否则会引发异常。但是在客户端注销后，这个令牌仍然存在。我正在使用以下注销代码：

AWSSignInManager.sharedInstance().logout { (result: Any?, error: Error?) in
    // handle results
}

我了解，此令牌将在超时后过期，并且不会刷新，因为下次登录用户将获得另一个加速/刷新令牌对，但我想在注销时立即使令牌无效，是吗可能的？还是我不懂 Cognito 使用不当？

Answer 1

在浏览 github 和 AWS 论坛后，我找到了 chris radek 对这个问题的（半）答案，他是 aws-sdk for js 的贡献者。

讨论如下： https://github.com/aws/aws-sdk-js/issues/1241

如果您不想阅读所有内容，基本上，克里斯说它的标准是令牌有效期为一小时，但是

通过修改某个参数，您可以将其减少到最少 15分钟。但是，您不能立即使令牌无效 退出。

以下是描述如何缩短持续时间的 javascript 文档： https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/CognitoIdentityCredentials.html#params-property

https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/STS.html#assumeRoleWithWebIdentity-property

有关该主题的 AWS 文档： https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdTokenForDeveloperIdentity.html

https://forums.aws.amazon.com/thread.jspa?threadID=232652

下面是可以在python中调用的匹配函数： https://boto3.readthedocs.io/en/latest/reference/services/cognito-identity.html#CognitoIdentity.Client.get_open_id_token_for_developer_identity

这是可以更改令牌持续时间的地方！