那些遇到过的问题

经过身份验证登录后,AWS Cognito NotAuthorizedException“无效的访问令牌”错误

JJE*_*JJE 2 amazon-web-services amazon-cognito aws-lambda aws-api-gateway

我设置了一个 AWS Cognito 用户池/身份池来授权 API 网关后面的 Lambda 函数。我的 lambda 使用适用于 Node.js 的 AWS 开发工具包。登录过程工作正常。在我的函数中,我有一个CognitoIdentityServiceProvider用于调用该getUser函数的对象。我为函数提供的访问密钥来自 lambda 变量event.requestContext.identity.accessKey。但是,函数调用失败,并通过我的 Cloud Watch 日志查看以下错误:

{
  "message": "Invalid Access Token",
  "code": "NotAuthorizedException",
  "time": "2019-08-03T20:34:50.511Z",
  "requestId": ...,
  "statusCode": 400,
  "retryable": false,
  "retryDelay": 36.048605458111794
}
Run Code Online (Sandbox Code Playgroud)

在经过身份验证的请求中提供给我的令牌为何无效?我什至不确定如何调试它,或者我应该寻找什么问题。

我如何尝试在 lamdba 处理程序中进行调用的示例:

var AWS = require('aws-sdk');
AWS.config.region = "us-west-2";
let poolData = {
  UserPoolId: MY_POOL_ID,
  ClientId: MY_CLIENT_ID
};
const cognito = new AWS.CognitoIdentityServiceProvider(poolData);

export async function myHandler(event, context, cb) {
  var params = {
    AccessToken: event.requestContext.identity.accessKey
  };
  cognito.getUser(params, (err, user) => {
    if (err) {
      console.log(JSON.stringify(err));
    }
    let response = {
      statusCode: 200,
      headers: {
        "Access-Control-Allow-Origin": "*",
        "Access-Control-Allow-Credentials": true,
      },
      body: { ... }
    };
    return cb(null, response);
  });
}
Run Code Online (Sandbox Code Playgroud)

我可以使用 AWS Amplify 或 CLI 测试从 React UI 测试此 API 调用,两者都会在后端产生相同的结果。所以我认为这不一定是函数的调用方式。这是我用于 CLI 测试的方法,它将让用户登录到用户池并代表他们发出 API 请求:

npx aws-api-gateway-cli-test \
--username='my-test-user@domain.com' \
--password='password' \
--user-pool-id='us-west-2_000000000' \
--app-client-id='00000000000000000000000' \
--cognito-region='us-west-2' \
--identity-pool-id='us-west-2:000000000-0000-0000-0000-000000000000' \
--invoke-url='https://00000000000.execute-api.us-west-2.amazonaws.com/dev' \
--api-gateway-region='us-west-2' \
--path-template='/myHandler' \
--method='GET'
Run Code Online (Sandbox Code Playgroud)

从 API 调用传递的访问令牌具有“ASIA”前缀,而不是“AKIA”前缀(如果与此处相关)。我不确定要包含有关我的用户池或其他任何内容的其他信息,因此如果这与解决方案相关,我很乐意提供。

A.K*_*han 6

accessKey您传递给getUser API 的内容不是accessToken它所期望的。event.requestContext.identity.accessKey是 IAM 用户访问密钥,而不是accessToken用户登录时由 AWS Cognito 生成的密钥。您将需要传递 CognitoitiateAuth API返回的 JWT 访问令牌。发出请求时,请考虑在授权标头中添加访问令牌。

归档时间:

查看次数:

10089 次

最近记录:

6 年,4 月 前
相关归档
Jenkins亚马逊ECR插件登录问题"授权令牌已过期" 11
SQS Lambda-重试逻辑? 9
更改elasticbeanstalk环境vpc 8
无法删除Amazon RDS SQL Server数据库 7
将Cloudfront与动态图像大小调整和S3存储集成 6
将私钥存储在静态 Angular 站点上 5
AWS Lambda - 当我的请求远低于发布的 6MB 限制时,为什么它会拒绝我的请求并出现 413 内容太长错误? 5
上传大文件时,AWS S3 lambda 函数不会触发 5
aws-java-sdk-cognitoidp 与 aws-java-sdk-cognitoidentity 之间的区别? 3
在Lambda函数中获取Cognito用户池标识 3
难疑归档
如何将Git存储库还原为以前的提交 7278
如何使用保存实例状态保存Android Activity状态? 2538
你如何断言在JUnit 4测试中抛出某个异常? 1915
短路Array.forEach就像调用break 1429
如何在Java中连接两个数组? 1299
jQuery document.createElement等价? 1226
在对象名称之前单个和双下划线的含义是什么? 1205
如何在Bash中将字符串转换为小写? 1158
PHP和枚举 1114
如何在同一分支上的两个不同提交之间区分相同的文件? 1077