使用 Cognito 用户池的 AWS Amplify Auth 不返回 JWT id_token 中的随机数或 at_hash 声明

Sar*_*oma 3 authentication amazon-web-services openid-connect amazon-cognito aws-amplify

我正在尝试使用 Amplify Auth 来实现 OpenID Connect 隐式流程,以便为许多 React 客户端提供 SSO。

我已经能够使用 Cognito 托管 UI 来实现此功能,但这需要其他应用程序用户单击按钮来确认登录才能进行身份验证。我希望它是无缝的即当用户登录一个站点并导航到另一个站点时,如果他们与身份验证提供者有会话,则会自动进行身份验证。

为了尝试实现这一目标,我设置了一个单独的 Amplify 应用程序,该应用程序使用 React Authenticator 组件。

我可以通过此身份验证并重定向回客户端。但是, theid_token不包含 theat_hashnonce声明。据推测,丢失是因为身份验证提供程序应用程序在使用 Cognito 进行身份验证时at_hash未发送。丢失了,因为我还没有找到传递它的方法。responseTypetoken id_tokennonce

  1. 有没有办法让 Amplify Authenticator SignIn 请求id_token声明at_hash

  2. 是否可以将nonce值传递给id_token声明?

请注意, 我试图遵守:https://openid.net/specs/openid-connect-core-1_0.html#ImplicitFlowSteps 特别针对此部分:3.2.2.10。身份令牌

import React from 'react';
import { Authenticator, ConfirmSignIn, SignIn } from 'aws-amplify-react';
import Amplify, { Auth } from 'aws-amplify';
import awsconfig from './aws-exports';

Amplify.configure(awsconfig);

const getSearchParams = () =>
    window.location.search.substr(1);

const getValueFromSearchParam = (key) =>
    new URLSearchParams(getSearchParams()).get(key);

const getRedirectUri = () => {
    const redirect_uri = getValueFromSearchParam('redirect_uri');
    return redirect_uri ? decodeURI(redirect_uri) : null;
};

const Login = () => {
    const handleAuthStateChange = (state) => {
        if(state === 'signedIn') {
            const redirect_uri = getRedirectUri();
            const state = getValueFromSearchParam('state');
            if(redirect_uri === null) {
                throw new Error('No redirect_uri provided');
            }
            Auth.currentSession().then(currentSession => {
                const id_token = currentSession.idToken.jwtToken;
                const access_token = currentSession.accessToken.jwtToken;
                const redirect = `${redirect_uri}#access_token=${access_token}&id_token=${id_token}&state=${state}`;
                window.location.replace(redirect);
            }).catch(err => console.error(err));
        }
    };

    return (
        <Authenticator
            hideDefault={true}
            onStateChange={handleAuthStateChange}
        >
            <SignIn  />
            <ConfirmSignIn/>
        </Authenticator>
    );
};
Run Code Online (Sandbox Code Playgroud)

Gar*_*her 5

这里有一些您可能感兴趣的问题:

  • 正如您所注意到的,Cognito 缺乏一些基于标准的支持
  • 如果您使用response_type = token id_token,您将被限制为固定的60分钟用户会话
  • 就随机数参数等而言,Amplify 可能不是最标准的库
  • 如今,建议 SPA 使用授权代码流 (PKCE) - 您可能会发现这是一种更简单的方法来实现您正在寻找的登录后检查

不幸的是,在使用 Cognito 时您可能需要做出一些权衡 - 并做出“最不糟糕的选择”。如果有帮助的话,这里有一些我的东西可以比较: