Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accesso alle risorse con API Gateway dopo l'accesso
Un uso comune dei token dei pool di utenti di Amazon Cognito consiste nell'autorizzare le richieste a un'API REST di API Gateway. Gli ambiti OAuth 2.0 nei token di accesso possono autorizzare un metodo e un percorso, come for. HTTP GET
/app_assets
I token ID possono fungere da autenticazione generica per un'API e passare gli attributi utente al servizio di backend. API Gateway offre opzioni di autorizzazione personalizzate aggiuntive come gli autorizzatori JWT per le API HTTP e gli autorizzatori Lambda che possono applicare una logica più dettagliata.
Il diagramma seguente illustra un'applicazione che sta ottenendo l'accesso a un'API REST con gli ambiti OAuth 2.0 in un token di accesso.
![Un diagramma di flusso di un'applicazione che si autentica con un pool di utenti Amazon Cognito e autorizza l'accesso alle risorse API con Amazon API Gateway.](images/access-services-api-gateway.png)
L'app deve raccogliere i token dalle sessioni autenticate e aggiungerli come token portatori a un'intestazione della richiesta. Authorization
Configura l'autorizzatore che hai configurato per l'API, il percorso e il metodo per valutare il contenuto dei token. API Gateway restituisce i dati solo se la richiesta soddisfa le condizioni impostate per l'autorizzatore.
Alcuni modi potenziali in cui l'API API Gateway può approvare l'accesso da un'applicazione sono:
-
Il token di accesso contiene l'ambito OAuth 2.0 corretto. L'autorizzazione dei pool di utenti di Amazon Cognito per un'API REST è un'implementazione comune con una bassa barriera all'ingresso. Puoi anche valutare il corpo, i parametri della stringa di query e le intestazioni di una richiesta a questo tipo di autorizzazione.
-
Il token ID è valido e non è scaduto. Quando passi un token ID a un autorizzatore Amazon Cognito, puoi eseguire un'ulteriore convalida del contenuto del token ID sul tuo server delle applicazioni.
-
Un gruppo, una dichiarazione, un attributo o un ruolo in un token di accesso o ID soddisfa i requisiti definiti in una funzione Lambda. Un autorizzatore Lambda analizza il token nell'intestazione della richiesta e lo valuta per una decisione di autorizzazione. Puoi creare una logica personalizzata nella tua funzione o effettuare una richiesta API ad Amazon Verified Permissions.
Puoi anche autorizzare le richieste a un'API AWS AppSync GraphQL con token provenienti da un pool di utenti.