Acceder a los recursos con API Gateway después de iniciar sesión - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceder a los recursos con API Gateway después de iniciar sesión

Un uso común de los tokens de grupos de usuarios de Amazon Cognito es autorizar las solicitudes a un API Gateway. REST API Los ámbitos OAuth 2.0 de los tokens de acceso pueden autorizar un método y una ruta, como HTTP GET en el caso de /app_assets Los identificadores de identidad pueden servir como autenticación genérica API y pueden transferir los atributos del usuario al servicio de backend. APIGateway tiene opciones de autorización personalizadas adicionales, como JWTautorizadores HTTP APIs y autorizadores Lambda, que pueden aplicar una lógica más detallada.

En el siguiente diagrama, se muestra una aplicación que está accediendo a un token de acceso REST API con los alcances OAuth 2.0.

Diagrama de flujo de una aplicación que se autentica con un grupo de usuarios de Amazon Cognito y autoriza el acceso a API los recursos con Amazon Gateway. API

La aplicación debe recopilar los tokens de las sesiones autenticadas y añadirlos como tokens portadores a un Authorization encabezado de la solicitud. Configura el autorizador que configuraste para la ruta y el API método para evaluar el contenido de los tokens. APIGateway devuelve los datos solo si la solicitud cumple con las condiciones que configuraste para tu autorizador.

Algunas posibles formas en las que API Gateway API puede aprobar el acceso desde una aplicación son las siguientes:

  • El token de acceso es válido, no ha caducado y contiene el alcance OAuth 2.0 correcto. El autorizador de grupos de usuarios de Amazon Cognito para a REST API es una implementación común con una barrera de entrada baja. También puede evaluar el cuerpo, los parámetros de la cadena de consulta y los encabezados de una solicitud dirigida a este tipo de autorizador.

  • El token de identificación es válido y no ha caducado. Al pasar un token de ID a un autorizador de Amazon Cognito, puede realizar una validación adicional del contenido del token de ID en el servidor de aplicaciones.

  • Un grupo, afirmación, atributo o rol en un token de acceso o ID cumple con los requisitos que se definen en una función Lambda. Un autorizador de Lambda analiza el token en el encabezado de la solicitud y lo evalúa para tomar una decisión de autorización. Puedes crear una lógica personalizada en tu función o realizar una API solicitud a Amazon Verified Permissions.

También puedes autorizar solicitudes a un AWS AppSync GraphQL API con tokens de un grupo de usuarios.