我正在尝试使用 API 网关和 Lambda 函数创建 API。
基于用户组(而不是 Cognito 用户组),我想提供对单独 DynamoDB 表的访问权限。
我遵循的方法是,我为每组用户创建一个单独的 Cognito 用户池。
当用户登录时,他会通过相应的用户池进行身份验证。
为了调用后续的 API,我打算使用 Lambda 授权器。
用户将在 HTTP 标头请求中传递 ID 令牌,我想验证此 ID 令牌。
这是正确的方法吗?或者是否有更好的方法来实现此工作流程。
我们可以利用 Cognito 用户组吗?这会是一种安全的方法吗?
我想将一个用户组的表与另一个用户组的表严格分开。
我发现了以下链接,以验证 ID 令牌。
【问题讨论】:
标签: amazon-web-services aws-lambda aws-api-gateway amazon-cognito
AWS 提供了一些经过验证的架构和工具来简化上述用例。
上述用例不需要多个用户池。这可以通过单个用户池本身来处理。
一个简单的架构可以是UI->API网关->Lambda->DynamoDB
可以将 Cognito 用户池中的用户添加到组中并使用 IAM 策略进行设置。然后可以为 IAM 或 cognito 授权者配置 API 网关。每个用于访问不同 DynamoDb 表的 Lambda 都可以在 API 层进行授权。
在这种情况下不需要自定义授权人。
使用 AWS Amplify 进行用户身份验证和所有其他通信。 Amplify 将使用编写的任何额外代码自行处理令牌传递部分。在这种方法中,JWT 令牌可以在客户端 UI 层以及服务器代码 (lambda) 中被读取/验证和逻辑使用。 API网关默认使用相同的令牌进行授权(无需编写任何代码)。
Cognito 用户池和身份池是企业级 AWS 解决方案,AWS Amplify 补充了 Sigv4、SRP 等协议的高度安全实施,这些协议使用自定义代码实施起来非常困难和复杂。
【讨论】: