Accesso alle risorse con API Gateway dopo l'accesso - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso alle risorse con API Gateway dopo l'accesso

Un uso comune dei token dei pool di utenti di Amazon Cognito consiste nell'autorizzare le richieste a un gateway. API REST API Gli ambiti OAuth 2.0 dei token di accesso possono autorizzare un metodo e un percorso, come for. HTTP GET /app_assets I token ID possono fungere da autenticazione generica per un servizio di backend API e possono passare gli attributi utente al servizio di backend. APIGateway offre opzioni di autorizzazione personalizzate aggiuntive come JWTgli autorizzatori per HTTP APIs e gli autorizzatori Lambda che possono applicare una logica più dettagliata.

Il diagramma seguente illustra un'applicazione che sta ottenendo l'accesso a un REST API con gli ambiti 2.0 in un token di accesso. OAuth

Un diagramma di flusso di un'applicazione che si autentica con un pool di utenti Amazon Cognito e autorizza l'accesso alle risorse con Amazon Gateway. API API

L'app deve raccogliere i token dalle sessioni autenticate e aggiungerli come token portatori a un'intestazione della richiesta. Authorization Configura l'autorizzatore che hai configurato per il percorso e il metodo per API valutare il contenuto dei token. APIGateway restituisce i dati solo se la richiesta soddisfa le condizioni impostate per l'autorizzatore.

Alcuni modi potenziali in cui API Gateway API può approvare l'accesso da un'applicazione sono:

  • Il token di accesso è valido, non è scaduto e contiene l'ambito OAuth 2.0 corretto. L'autorizzazione dei pool di utenti di Amazon Cognito per a REST API è un'implementazione comune con una bassa barriera all'ingresso. Puoi anche valutare il corpo, i parametri della stringa di query e le intestazioni di una richiesta a questo tipo di autorizzazione.

  • Il token ID è valido e non è scaduto. Quando passi un token ID a un autorizzatore Amazon Cognito, puoi eseguire un'ulteriore convalida del contenuto del token ID sul tuo server delle applicazioni.

  • Un gruppo, una dichiarazione, un attributo o un ruolo in un token di accesso o ID soddisfa i requisiti definiti in una funzione Lambda. Un autorizzatore Lambda analizza il token nell'intestazione della richiesta e lo valuta per una decisione di autorizzazione. Puoi creare una logica personalizzata nella tua funzione o effettuare una API richiesta ad Amazon Verified Permissions.

Puoi anche autorizzare le richieste a un AWS AppSync APIGraphQL con i token di un pool di utenti.