Como acessar recursos com o API Gateway após o acesso - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como acessar recursos com o API Gateway após o acesso

Um uso comum dos tokens de grupos de usuários do Amazon Cognito é autorizar solicitações para uma API REST do API Gateway. Os escopos OAuth 2.0 nos tokens de acesso podem autorizar um método e um caminho, como HTTP GET for. /app_assets Os tokens de ID podem servir como autenticação genérica para uma API e transmitir atributos do usuário para o serviço de backend. O API Gateway tem opções de autorização personalizadas adicionais, como autorizadores JWT para autorizadores HTTP e APIs Lambda, que podem aplicar uma lógica mais refinada.

O diagrama a seguir ilustra um aplicativo que está obtendo acesso a uma API REST com os escopos OAuth 2.0 em um token de acesso.

Um diagrama de fluxo de uma aplicação que se autentica com um grupo de usuários do Amazon Cognito e autoriza o acesso a recursos da API com o Amazon API Gateway.

Sua aplicação deve coletar os tokens das sessões autenticadas e adicioná-los como tokens portadores a um cabeçalho Authorization na solicitação. Configure o autorizador que você configurou para a API, o caminho e o método para avaliar o conteúdo do token. O API Gateway retorna dados somente se a solicitação corresponder às condições que você configurou para seu autorizador.

Algumas maneiras possíveis pelas quais a API do API Gateway pode aprovar o acesso a partir de uma aplicação são:

  • O token de acesso é válido, não expirou e contém o escopo OAuth 2.0 correto. O autorizador de grupos de usuários do Amazon Cognito para uma API REST é uma implementação comum com pouca barreira de entrada. Você também pode avaliar o corpo, os parâmetros da string de consulta e os cabeçalhos de uma solicitação para esse tipo de autorizador.

  • O token de ID é válido e não expirou. Ao passar um token de ID para um autorizador do Amazon Cognito, você pode fazer uma validação adicional do conteúdo do token de ID no seu servidor de aplicações.

  • Um grupo, reivindicação, atributo ou função em um token de acesso ou ID atende aos requisitos que você define em uma função do Lambda. Um autorizador do Lambda analisa o token no cabeçalho da solicitação e o avalia para uma decisão de autorização. Você pode criar uma lógica personalizada em sua função ou fazer uma solicitação de API para o Amazon Verified Permissions.

Você também pode autorizar solicitações para uma API GraphQL do AWS AppSync com tokens de um grupo de usuários.