Desencadenador de Lambda anterior a la autenticación

Amazon Cognito invoca a este desencadenador cuando un usuario intenta iniciar sesión, lo que le permite crear una validación personalizada que realiza acciones preparatorias. Por ejemplo, puede denegar la solicitud de autenticación o registrar los datos de sesión en un sistema externo.

nota

Este desencadenador de Lambda no se activa cuando un usuario no existe o ya tiene una sesión en el grupo de usuarios. Si la configuración PreventUserExistenceErrors de un cliente de aplicaciones de grupo de usuarios está establecida a ENABLED, se activará el desencadenador de Lambda.

Información general sobre el flujo de autenticación

La solicitud contiene datos de validación del cliente de los valores ClientMetadata transferidos por la aplicación a las operaciones de la API InitiateAuth y AdminInitiateAuth del grupo de usuarios.

Para obtener más información, consulte Flujo de autenticación de los grupos de usuarios.

Parámetros del desencadenador de Lambda de preautenticación

La solicitud que Amazon Cognito envía a esta función de Lambda es una combinación de los parámetros que se indican a continuación y los parámetros comunes que Amazon Cognito agrega a todas las solicitudes.

JSON

{
    "request": {
        "userAttributes": {
            "string": "string",
            . . .
        },
        "validationData": {
            "string": "string",
            . . .
        },
        "userNotFound": boolean
    },
    "response": {}
}

Parámetros de la solicitud anterior a la autenticación

userAttributes

Uno o varios pares de nombre-valor que representan atributos de usuario.

userNotFound

Al establecer PreventUserExistenceErrors en ENABLED para el cliente del grupo de usuarios, Amazon Cognito rellena este booleano.

validationData

Uno o varios pares de clave-valor que contienen los datos de validación de la solicitud de inicio de sesión del usuario. Puede transferir estos datos a la función de Lambda mediante el parámetro ClientMetadata en las acciones de la API InitiateAuth y AdminInitiateAuth.

Parámetros de la respuesta anterior a la autenticación

Amazon Cognito no espera ninguna información de devolución adicional en la respuesta. La función puede devolver un error para rechazar el intento de inicio de sesión o utilizar operaciones de la API para consultar y modificar los recursos.

Ejemplo invocación anterior a la autenticación

Esta función de ejemplo impide que los usuarios inicien sesión en el grupo de usuarios con un cliente de aplicación específico. Como la función de Lambda de autenticación previa no se invoca cuando el usuario tiene una sesión existente, esta función solo impide sesiones nuevas con el ID de cliente de la aplicación que desea bloquear.

Node.js

const handler = async (event) => {
  if (
    event.callerContext.clientId === "user-pool-app-client-id-to-be-blocked"
  ) {
    throw new Error("Cannot authenticate users from this user pool app client");
  }

  return event;
};

export { handler };

Python

def lambda_handler(event, context):
    if event['callerContext']['clientId'] == "<user pool app client id to be blocked>":
        raise Exception("Cannot authenticate users from this user pool app client")

    # Return to Amazon Cognito
    return event

Amazon Cognito transfiere la información del evento a la función de Lambda. A continuación, la función devuelve el mismo objeto de evento a Amazon Cognito con los cambios en la respuesta. En la consola de Lambda puede configurar un evento de prueba con los datos relevantes para el desencadenador de Lambda. El siguiente es un evento de prueba para este código de ejemplo:

JSON

{
    "callerContext": {
        "clientId": "<user pool app client id to be blocked>"
    },
    "response": {}
}