Acessando recursos com o API Gateway após o login - Amazon Cognito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessando recursos com o API Gateway após o login

Um uso comum dos tokens de grupos de usuários do Amazon Cognito é autorizar solicitações para um Gateway. API REST API Os escopos OAuth 2.0 nos tokens de acesso podem autorizar um método e um caminho, como HTTP GET for. /app_assets Os tokens de ID podem servir como autenticação genérica para um API e podem passar atributos do usuário para o serviço de back-end. APIO Gateway tem opções de autorização personalizadas adicionais, como JWTautorizadores para HTTP APIs e autorizadores Lambda, que podem aplicar uma lógica mais refinada.

O diagrama a seguir ilustra um aplicativo que está obtendo acesso a um REST API com os escopos OAuth 2.0 em um token de acesso.

Um diagrama de fluxo de um aplicativo que se autentica com um grupo de usuários do Amazon Cognito e autoriza o acesso aos API recursos com o Amazon Gateway. API

Seu aplicativo deve coletar os tokens das sessões autenticadas e adicioná-los como tokens portadores a um Authorization cabeçalho na solicitação. Configure o autorizador que você configurou para o API caminho e o método para avaliar o conteúdo do token. APIO Gateway retornará dados somente se a solicitação corresponder às condições que você configurou para seu autorizador.

Algumas formas possíveis pelas quais o API Gateway API pode aprovar o acesso de um aplicativo são:

  • O token de acesso contém o escopo OAuth 2.0 correto. O autorizador de grupos de usuários do Amazon Cognito para a REST API é uma implementação comum com uma baixa barreira de entrada. Você também pode avaliar o corpo, os parâmetros da sequência de caracteres de consulta e os cabeçalhos de uma solicitação para esse tipo de autorizador.

  • O token de ID é válido e não expirou. Ao passar um token de ID para um autorizador do Amazon Cognito, você pode realizar uma validação adicional do conteúdo do token de ID no seu servidor de aplicativos.

  • Um grupo, declaração, atributo ou função em um token de acesso ou ID atende aos requisitos que você define em uma função Lambda. Um autorizador Lambda analisa o token no cabeçalho da solicitação e o avalia para uma decisão de autorização. Você pode criar uma lógica personalizada em sua função ou fazer uma API solicitação às Permissões Verificadas da Amazon.

Você também pode autorizar solicitações para um AWS AppSync APIGraphQL com tokens de um grupo de usuários.