登入後使用 API Gateway 存取資源

Amazon Cognito 使用者集區字符的常見用途是授權請求給API閘道 REST API。存取權杖中的 OAuth 2.0 範圍可以授權方法和路徑，例如 HTTP GET 。 /app_assetsID 權杖可以作為一般身分驗證，API並可將使用者屬性傳遞至後端服務。API Gateway 有其他自訂授權選項，例如 JWT 的授權方HTTPAPIs和 Lambda 授權方，可以套用更多精細邏輯。

下圖說明可存取 的應用程式，該應用程式在存取權杖中RESTAPI具有 OAuth 2.0 範圍。

您的應用程式必須從已驗證的工作階段中收集權杖，並將其作為承載權杖新增至請求中的Authorization標頭。設定您為 API、路徑和方法設定的授權方，以評估權杖內容。API Gateway 只有在請求符合您為授權方設定的條件時，才會傳回資料。

API Gateway API 可以從應用程式核准存取權的一些潛在方式包括：

• 存取權杖有效、未過期，且包含正確的 OAuth 2.0 範圍。的 Amazon Cognito 使用者集區授權方RESTAPI是一種常見的實作，具有較低的進入障礙。您也可以評估對此類授權方請求的內文、查詢字串參數和標頭。

• ID 權杖有效且尚未過期。當您將 ID 權杖傳遞給 Amazon Cognito 授權方時，您可以在應用程式伺服器上對 ID 權杖內容執行其他驗證。

• 存取或 ID 權杖中的群組、宣告、屬性或角色符合您在 Lambda 函數中定義的要求。Lambda 授權方會剖析請求標頭中的權杖，並評估權杖是否有授權決定。您可以在函數中建構自訂邏輯，或向 Amazon Verified Permissions 提出API請求。

您也可以使用來自使用者集區的權杖，向 AWS AppSync GraphQL API 授權請求。