Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Desencadenador de Lambda anterior a la autenticación
Amazon Cognito invoca a este desencadenador cuando un usuario intenta iniciar sesión, lo que le permite crear una validación personalizada que realiza acciones preparatorias. Por ejemplo, puede denegar la solicitud de autenticación o registrar los datos de sesión en un sistema externo.
nota
Este desencadenador de Lambda no se activa cuando un usuario no existe o ya tiene una sesión en el grupo de usuarios. Si la configuración PreventUserExistenceErrors
de un cliente de aplicaciones de grupo de usuarios está establecida a ENABLED
, se activará el desencadenador de Lambda.
Temas
Información general sobre el flujo de autenticación
![Desencadenador de Lambda de preautenticación: flujo del cliente](images/lambda-pre-authentication-1.png)
La solicitud contiene datos de validación del cliente de los valores ClientMetadata
transferidos por la aplicación a las operaciones de la API InitiateAuth
y AdminInitiateAuth
del grupo de usuarios.
Para obtener más información, consulte Flujo de autenticación de los grupos de usuarios.
Parámetros del desencadenador de Lambda de preautenticación
La solicitud que Amazon Cognito envía a esta función de Lambda es una combinación de los parámetros que se indican a continuación y los parámetros comunes que Amazon Cognito agrega a todas las solicitudes.
Parámetros de la solicitud anterior a la autenticación
- userAttributes
-
Uno o varios pares de nombre-valor que representan atributos de usuario.
- userNotFound
-
Al establecer
PreventUserExistenceErrors
enENABLED
para el cliente del grupo de usuarios, Amazon Cognito rellena este booleano. - validationData
-
Uno o varios pares de clave-valor que contienen los datos de validación de la solicitud de inicio de sesión del usuario. Puede transferir estos datos a la función de Lambda mediante el parámetro ClientMetadata en las acciones de la API InitiateAuth y AdminInitiateAuth.
Parámetros de la respuesta anterior a la autenticación
Amazon Cognito no espera ninguna información de devolución adicional en la respuesta. La función puede devolver un error para rechazar el intento de inicio de sesión o utilizar operaciones de la API para consultar y modificar los recursos.
Ejemplo invocación anterior a la autenticación
Esta función de ejemplo impide que los usuarios inicien sesión en el grupo de usuarios con un cliente de aplicación específico. Como la función de Lambda de autenticación previa no se invoca cuando el usuario tiene una sesión existente, esta función solo impide sesiones nuevas con el ID de cliente de la aplicación que desea bloquear.
Amazon Cognito transfiere la información del evento a la función de Lambda. A continuación, la función devuelve el mismo objeto de evento a Amazon Cognito con los cambios en la respuesta. En la consola de Lambda puede configurar un evento de prueba con los datos relevantes para el desencadenador de Lambda. El siguiente es un evento de prueba para este código de ejemplo: