怎么验证由Cognito Identity Pool生成的OpenId连接令牌
0
【以下的问题经过翻译处理】 我有一个客户,他正在结合Cognito Identity Pool和Cognito User Pool一起使用。他正在使用API方法GetOpenId Token为未经身份验证的用户生成JWT令牌,并希望在后端验证JWT令牌。
https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_GetOpenIdToken.html
然而,这似乎仅适用于由user pool生成的令牌,请参阅:
https://aws.amazon.com/premiumsupport/knowledge-center/decode-verify-cognito-json-token/
我的问题是,identity pool的令牌也可以同样实现吗?在哪里可以找到用于验证JWT签名的公钥?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 我自己没有尝试过,但如果它是符合 OIDC 标准的令牌,您应该能够通过官方验证过程进行验证,使用令牌中 iss 字段中的 jwks url 进行验证。
以下是如何进行验证的步骤:
- 从令牌中获取 iss 值
- 发出一个 GET 请求到由 iss +/.well-know/openid-configuration 构建的 URI https://cognito-identity.amazonaws.com/.well-known/openid-configuration
- 从返回的 JSON 中获取 jwks_uri 字段
- 发出一个 GET 请求到 jwks_uri 字段中的 URI,以获取 jwks https://cognito-identity.amazonaws.com/.well-known/jwks_uri
- 使用 id 令牌中的 kid 来选择 jwks 中的正确条目来验证签名
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 5 个月前
- AWS 官方已更新 8 个月前