Accesso alle risorse con API Gateway dopo l'accesso - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso alle risorse con API Gateway dopo l'accesso

Un uso comune dei token dei pool di utenti di Amazon Cognito consiste nell'autorizzare le richieste a un'API REST di API Gateway. Gli ambiti OAuth 2.0 nei token di accesso possono autorizzare un metodo e un percorso, come for. HTTP GET /app_assets I token ID possono fungere da autenticazione generica per un'API e passare gli attributi utente al servizio di backend. API Gateway offre opzioni di autorizzazione personalizzate aggiuntive come gli autorizzatori JWT per le API HTTP e gli autorizzatori Lambda che possono applicare una logica più dettagliata.

Il diagramma seguente illustra un'applicazione che sta ottenendo l'accesso a un'API REST con gli ambiti OAuth 2.0 in un token di accesso.

Un diagramma di flusso di un'applicazione che si autentica con un pool di utenti Amazon Cognito e autorizza l'accesso alle risorse API con Amazon API Gateway.

L'app deve raccogliere i token dalle sessioni autenticate e aggiungerli come token portatori a un'intestazione della richiesta. Authorization Configura l'autorizzatore che hai configurato per l'API, il percorso e il metodo per valutare il contenuto dei token. API Gateway restituisce i dati solo se la richiesta soddisfa le condizioni impostate per l'autorizzatore.

Alcuni modi potenziali in cui l'API API Gateway può approvare l'accesso da un'applicazione sono:

  • Il token di accesso contiene l'ambito OAuth 2.0 corretto. L'autorizzazione dei pool di utenti di Amazon Cognito per un'API REST è un'implementazione comune con una bassa barriera all'ingresso. Puoi anche valutare il corpo, i parametri della stringa di query e le intestazioni di una richiesta a questo tipo di autorizzazione.

  • Il token ID è valido e non è scaduto. Quando passi un token ID a un autorizzatore Amazon Cognito, puoi eseguire un'ulteriore convalida del contenuto del token ID sul tuo server delle applicazioni.

  • Un gruppo, una dichiarazione, un attributo o un ruolo in un token di accesso o ID soddisfa i requisiti definiti in una funzione Lambda. Un autorizzatore Lambda analizza il token nell'intestazione della richiesta e lo valuta per una decisione di autorizzazione. Puoi creare una logica personalizzata nella tua funzione o effettuare una richiesta API ad Amazon Verified Permissions.

Puoi anche autorizzare le richieste a un'API AWS AppSync GraphQL con token provenienti da un pool di utenti.