Блог

Рассмотрим серверную часть restapi, состоящую из AWS-APIGateway и -Lambda.

После успешной проверки подлинности oauth2 AWS Cognito возвращает клиенту как access_token, так и id_token в потоке предоставления авторизации кода.

Во время вызовов api лямбда-функции необходимо знать адрес электронной почты прошедшего проверку подлинности клиента, поэтому у меня в основном есть 2 варианта:

1. Отправьте id_token в Authorization заголовке, который проверяется APIGateway и передается в Lambda. Пусть Lambda расшифрует id_token и получит доступ к адресу электронной почты, содержащемуся в нем.
2. Отправьте access_token в Authorization заголовке, который проверяется APIGateway с scope=openid email помощью и передается в Lambda. Пусть Lambda GET вызовет /oauth2/userinfo конечную точку с access_token в Authorization заголовке, чтобы получить адрес электронной почты.

Что из обоих является лучшей практикой? Почему?

Хороший вопрос:

• Токены доступа предназначены для использования в качестве недолговечных учетных данных API, содержащих области / утверждения и т. Д
• Токены Id играют другую роль, предоставляя клиенту подтверждение аутентификации, как в моем сообщении в блоге

Однако, если вы используете AWS Cognito, существует ограничение поставщика, согласно которому токены доступа нельзя настраивать — например, для указания адреса электронной почты.

Таким образом, API или шлюзу может потребоваться выполнить больше работы при первом получении токена, например, для поиска информации о пользователе или утверждений из других источников, а затем кэшировать их для последующих запросов с тем же токеном доступа.

То есть предпочтительнее использовать вариант 2, а не использовать токен id неестественным способом.

Для получения дополнительной информации об этом шаблоне проектирования см.:

• Сообщение в блоге с претензиями
• Пример кода

Не уверен, что вы изучаете пользовательские средства авторизации API Gateway, но если да, то в моем блоге есть кое-что об этом здесь