草庐IT

node.js - 如何纯粹使用 Cognito 对用户进行身份验证以供 S3 使用

coder 2023-05-30 原文

我已阅读这篇文章和 AWS 的回复 How do I use a Cognito token with API? 还有这个how to use AWS cognito with custom authentication to create temporary s3 upload security token

我还不清楚是否有更简单的解决方案来保护 S3 访问。

我有一个移动客户端和一个 node.js 后端。客户端通过后端进行身份验证并接收 jwt 访问 token 以进一步调用我的后端。除了与我自己的后端通信之外,用户应该能够向 S3 上传和下载文件。我正在寻找最简单的解决方案,以确保只有对我的后端拥有有效访问 token 的用户才能上传到 S3。

我可以执行以下操作吗(这是基于这篇博文 http://blog.backspace.academy/2015/03/using-cognito-with-nodejs-part-2.html):

  1. 客户端使用我的自定义 node.js 后端进行身份验证并从我的后端接收自定义访问 token
  2. 我的 node.js 后端获取 CognitoID AWS 临时用户凭证。但是,AWS 文档说我们还需要一个 session token (大概是通过调用 CognitoSync),所以我假设我的后端也需要获取 session token 。
  3. 我的 node.js 后端将这些临时凭据和 session token 传递给客户端
  4. 客户端使用它们来调用 S3,其中 AWS 开发工具包传入凭证 + session token 。

我错过了什么吗?有没有更简单的方法来做到这一点?我假设没有办法简单地让客户端将我自己的自定义 node.js 用户 accesstoken 传递给 AWS/S3/Cognito 并让 S3/Cognito 通过调用我自己的可以验证此 token 的 node.js API 来验证 token 。

最佳答案

你已经明白了。您可以从后端获取凭证并将 AWS 凭证传送给客户端。使用将过期的临时凭据时,您将需要 session key - 而且您绝对应该将临时凭据用于移动应用客户端。

如果你想用你自己的后端验证用户(在你的后端使用用户名/密码)你可以使用 Amazon Cognito's Developer Authenticated Identities feature .如果您的用户将使用 Facebook 进行身份验证,您只需将 Facebook 访问 token 传递给 Amazon Cognito,如 the Facebook Integration topic 中所述。 .

无论哪种方式,您将在 AWS 文档中看到的“标准”流程是让 Amazon Cognito 将 AWS session 凭证直接传送到移动应用程序(而不是通过您的后端)。使用 Developer Authenticated Identities 时,移动应用程序交换 OpenID Connect token (由您的后端从 Cognito 的 GetOpenIdTokenForDeveloperIdentity call 检索并在对身份验证请求的响应中传递到移动应用程序)以调用 Cognito 的 GetCredentialsForIdentity .使用 Facebook 时,您只需传入 Facebook 访问 token 而不是 OpenID token 。无论哪种方式,通过使用此流程,您都可以使用“标准”Cognito 来获取应用程序的 AWS 凭证,如 Getting Credentials topic 中针对 iOS、Android、JavaScript、Unity 和 Xamarin 所示。 .

话虽如此,您确实可以代表用户从后端获取 AWS 凭证并将其推送到客户端,但请记住,所有 AWS 移动开发工具包示例都假定您使用的是 Cognito如Getting Credentials topic所示上面,所以你必须考虑到这一点。如果您想查看通过您自己的后端路由凭证的示例,请参阅 API Gateway Secure Pet Store 示例(backend codeclient code)

关于node.js - 如何纯粹使用 Cognito 对用户进行身份验证以供 S3 使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33084583/

Cognitonodenoreferrertokennoopenernode.jsamazon-web-servicesamazon-s3jwtamazon-cognito

有关node.js - 如何纯粹使用 Cognito 对用户进行身份验证以供 S3 使用的更多相关文章

  1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

    我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

  2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

    总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

  3. ruby - 使用 RubyZip 生成 ZIP 文件时设置压缩级别 - 2

    我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看ruby​​zip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d

  4. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  5. ruby-on-rails - 使用 Ruby on Rails 进行自动化测试 - 最佳实践 - 2

    很好奇,就使用ruby​​onrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提

  6. ruby - 在 Ruby 中使用匿名模块 - 2

    假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于

  7. ruby - 使用 ruby​​ 和 savon 的 SOAP 服务 - 2

    我正在尝试使用ruby​​和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我

  8. python - 如何使用 Ruby 或 Python 创建一系列高音调和低音调的蜂鸣声? - 2

    关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。

  9. ruby-on-rails - 如何验证 update_all 是否实际在 Rails 中更新 - 2

    给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru

  10. ruby-on-rails - 按天对 Mongoid 对象进行分组 - 2

    在控制台中反复尝试之后,我想到了这种方法,可以按发生日期对类似activerecord的(Mongoid)对象进行分组。我不确定这是完成此任务的最佳方法,但它确实有效。有没有人有更好的建议,或者这是一个很好的方法?#eventsisanarrayofactiverecord-likeobjectsthatincludeatimeattributeevents.map{|event|#converteventsarrayintoanarrayofhasheswiththedayofthemonthandtheevent{:number=>event.time.day,:event=>ev

随机推荐