1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 嗨,隐式授权的问题本质上是您的回调接收访问令牌作为查询字符串参数。这代表了安全风险,除了测试项目外,应避免在生产工作负载中使用。
使用身份验证授权,您的回调将不会收到用户池生成的访问令牌,而是授权代码。您的应用程序必须将该授权代码用作对 Cognito TOKEN 端点 (https://docs.aws.amazon.com/cognito/latest/developerguide/token-endpoint.html) 的 HTTP Post 请求的一部分。
上述 POST 调用的响应将包含如下响应:
{ "access_token":"eyJra1example", "id_token":"eyJra2example", "refresh_token":"eyJj3example", “令牌_type”:“不记名”, “过期_in”:3600 }
从那里,您可以将这些令牌存储在 DynamoDB 加密数据库中.html>),您的应用程序可以在调用 HTTP REST API 网关时在授权标头中将其作为 Bearer 令牌传递。
您的应用程序负责在过期时重新发布新令牌(通过刷新令牌),而 api 网关负责通过 Cognito 授权方。本指南应该可以帮助您完成:https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html
希望能帮助到你!
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 4 年前
- AWS 官方已更新 2 年前