具有服务器端身份验证和 Cognito 的无服务器框架

Question

我已经使用无服务器框架和 APIG 实现了各种 REST-API，DynamoDB 作为数据存储，Cognito 用于用户身份验证，Angular2 作为前端。服务器端的 Cognito 授权者可以轻松地保护这些功能。缺点是我必须将 AWS SDK 集成到我的前端应用程序中，以便首先使用 Cognito 对用户进行身份验证（注册/登录，...）。我也可以使用 AWS_IAM 授权方，但在将请求发送到 API 网关之前，我还必须在客户端使用 AWS specific signature 签署所有请求。

现在我想知道是否有可能在服务器端保留身份验证和授权，以便我可以使用像 JSON Web Tokens 这样的开放标准进行注册/登录？这将允许我也为其他开发人员打开我的 REST-API，根本不会强迫他们使用 Cognito。

我知道一种可能性是为我的 lambda 函数实现自定义授权器，但没有任何稳定的东西可以“开箱即用”使用吗？我发现的大多数示例都是在客户端使用 Cognito 或 IAM auth AWS 签名登录（例如serverless-stack.com）。

奇怪的是，到目前为止，我还没有在网络上找到任何有用的信息，因为我认为这是 REST API 的典型用例。还是我对 API Gateway + Cognito 有概念上的误解？

Answer 1

在理解 AWS Cognito 的工作方式以及可用于实施身份验证和授权的选项方面，我遇到了同样的麻烦。不幸的是，没有开箱即用方法可以满足您的要求。尽管如此，我们还是希望亚马逊能尽快推出一项功能。

基本上，有 3 个选项可用于实现身份验证。

1. AWS_IAM
2. Cognito 授权者
3. 自定义授权者

AWS_IAM

除了身份验证之外，此方法还可用于轻松实现使用 IAM 角色或 IAM 用户的授权。唯一的缺点是您需要发送使用 aws-signature-4 签名的请求，这不是我们在 Auth0 等 IDP 服务中看到的标准方式。

Cognito 授权者

此方法符合通过 API 请求发送 JWT 令牌的预期。您可以在 Cognito 用户池中创建用户，然后使用它来进行身份验证并生成 IdToken。但是，此方法仅允许您对用户进行身份验证；授权需要在方法级别处理。

自定义授权人

此方法可用于编写您自己的身份验证和授权方式。它还有助于消除在 API 方法中编写授权逻辑。理想的解决方案是使用 AWS Cognito 用户池对用户进行身份验证，然后为 IAM 角色生成策略文档以访问资源。 这是一个例子AWS cognito userpools JavaScript SDK get user's policy documents。 另请注意，此解决方案将为您发出的每个请求调用一个额外的 lambda 函数。

Answer 2

您可以在服务器端使用 Cognito Auth。以下是步骤。

实现注册和登录

• 在前端和 API 网关端点（例如 /register）中实施注册表单，使用 Lambda 接收注册数据，这将使用 AWS 开发工具包在 Cognito 中创建用户。详细参考请查看this链接。

  AWSCognito.config.region = 'us-east-1'; //This is required to derive the endpoint
  
  var poolData = { UserPoolId : 'us-east-1_TcoKGbf7n',
      ClientId : '4pe2usejqcdmhi0a25jp4b5sh3'
  };
  var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);
  
  var attributeList = [];
  
  var dataEmail = {
      Name : 'email',
      Value : 'email@mydomain.com'
  };
  var dataPhoneNumber = {
      Name : 'phone_number',
      Value : '+15555555555'
  };
  var attributeEmail = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserAttribute(dataEmail);
  var attributePhoneNumber = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserAttribute(dataPhoneNumber);
  
  attributeList.push(attributeEmail);
  attributeList.push(attributePhoneNumber);
  
  userPool.signUp('username', 'password', attributeList, null, function(err, result){
      if (err) {
          alert(err);
          return;
      }
      cognitoUser = result.user;
      console.log('user name is ' + cognitoUser.getUsername());
  });
  

• 通过创建前端和 API 网关端点（例如 /login）对登录执行类似操作

  var authenticationData = {
      Username : 'username',
      Password : 'password'
  };
  var authenticationDetails = new AWSCognito.CognitoIdentityServiceProvider.AuthenticationDetails(authenticationData);
  var poolData = { UserPoolId : 'us-east-1_TcoKGbf7n',
      ClientId : '4pe2usejqcdmhi0a25jp4b5sh3'
  };
  var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);
  var userData = {
     Username : 'username',
     Pool : userPool
  };
  var cognitoUser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData);
     cognitoUser.authenticateUser(authenticationDetails, {
        onSuccess: function (result) {
           console.log('access token + ' + result.getAccessToken().getJwtToken());
       /* Use the idToken for Logins Map when Federating User Pools with Cognito Identity or when passing through an Authorization Header to an API Gateway Authorizer */
      console.log('idToken + ' + result.idToken.jwtToken);
     },
     onFailure: function(err) {
        alert(err);
     },
  });
  

从您的浏览器存储和发送 JWT 并在 API 网关进行验证。

• 从 Sign-in API 端点接收到 JWT 后，您可以使用 HTML5 Localstorage、Sessionstorage 或客户端 Cookie 将其本地存储在用户的浏览器中。 （可选）如果您需要使用服务器端 Cookie，则需要有一个代理后端来保持与 Web 应用的会话状态并将其转换为 JWT 以调用 API 网关。
• 从 Web 浏览器（假设您的客户端直接调用 API 网关）设置名为 Authorization 的 HTTP 标头并将 JWT 转发到 API 网关调用。
• 在 API Gateway 使用 Cognito Authorizer 作为授权令牌，它还将在其中将解析的用户身份转发给您的 Lambda。

注意：这里我故意避免了 IAM 授权，因为它需要 Web 应用程序 JavaScript 进行一些额外的工作才能在浏览器中实现 Signature 4 Signing，并且还需要经常刷新令牌，这对于 AWS JavaScript 开发工具包来说很简单，但会变得复杂如果您需要自己实现它。

Answer 3

请看一下这个here。

该示例演示了各种配置，包括自定义授权方、cognito、lambda、dynamoDB 等。