AWS：如何使用AWS Cognito为由CloudFront和EC2实例托管的Web应用程序提供授权服务？

一些想法

前端：

使用 S3 + CloudFront 分发。

关于身份验证，可以尝试使用一个和 CloudFront 分发“连接”的 Lambda 函数，将其重定向到 Cognito。

后端：

部署在 Fargate、EC2 上，或者看你喜欢。

在终端点前面放一个应用程序负载均衡器（ALB），这样你就可以定义重定向、转发、拒绝等规则。

你提到了“无服务器(serverless)”，但是使用的是服务器(ec2)。你可以使用AWS lambda（Node JS）作为后端，使用S3作为前端。AWS API网关具有内置的授权功能，您可以使用AWS Cognito进行身份验证。Cloudfront用于在边缘位置缓存内容，以从最靠近用户所在位置的边缘位置更快地传递内容。

您可以按照以下步骤在AWS中实现无服务器(serverless)概念。

1.创建前端并上传到S3

2.配置AWS Cognito并获取以下信息：

UserPoolId：'xxxx'， ClientId：'xxxx'， IdentityPoolId：'xxxx'， Region：'xxxx'

3.使用aws-cognito-sdk.min.js对用户进行身份验证并获取JWT令牌，示例代码可以在此处找到。这个JWT令牌需要在头部部分传递给每个API调用。如果使用AJAX，则示例代码为：

var xhr = new XMLHttpRequest();

xhr.setRequestHeader("Authorization", idToken);

4.配置AWS API网关和Cloudfront-请按照文档进行操作

5.在API网关配置中，选择Cognito用于您想要使用受授权访问的API。

6.创建AWS Lambda函数，将其链接到API网关。

问题

您当前的问题似乎有：

• 访问 Cloudfront 将需要一个 cookie，并且 Cloudfront 仅具有通过 Lambda Edge 扩展运行代码以验证它们（通过 lambda edge extensions）的非常有限能力
• 在 Cloudfront 前面放置反向代理没有意义，因为它应该将 web 资源部署到全球 20 多个位置

解决方法

如果您可以分离 web 和 API 的问题，您可以解决您的问题：

• 使您的 Express web 后端（在本地开发期间使用）仅提供静态内容
• 仅针对 API 和 OAuth 请求使用反向代理和 cookie

TOKEN HANDLER PATTERN

在 Curity，我们已经整理了一些相关资源，如下图所示：

这是一个从部署视角来看具有挑战性的流程，但思想是只要插入令牌处理程序组件，那么您的 SPA 和 API 就只需要简单的代码，同时还使用了最佳的安全性。

AWS 代码示例

出于兴趣，我的一份 React 示例使用此模式与 Cognito，并部署到 Cloudfront。