使用Cognito进行REST API身份验证

我自己一直在寻找答案，我的搜索导致了我找到了你的问题。从我的研究中，我会给出我最好的答案，假设你想使用众所周知的key/secret方法。或许其他人可以提供更好的方法。

基本上，这种方法是：

1. 您的 REST API 账户只是 Cognito 用户，位于（可能分开的）用户池中。
   • API 账户的管理是从后端进行的。
   • 用户名和密码将作为 API 密钥和密钥，并且是 由管理员创建（请参阅 Admin* 操作），可以使用您想要的任何格式（在 Cognito 限制内）。
2. REST API 通过 Cognito JWT 令牌进行授权。
3. API 账户密钥和密钥仅用于检索或刷新令牌。
   • 这需要 REST API 具有一组支持使用账户键和密钥检索和刷新令牌的端点。
   • 根据您设置 Cognito 刷新间隔的时间长短，您可以要求 API 帐户提交他们的密钥/密钥凭据 非常频繁到几乎不需要。

将REST API的授权结构化为使用Cognito令牌，将允许您直接将REST API与API Gateway对Cognito的支持集成。

我认为整个过程中最大的头疼问题是，您将不得不创建支持部件，例如，注册用户请求API帐户和管理这些帐户，以及一些额外的辅助REST端点用于令牌交换。此外，客户端还必须跟踪密钥/密码和令牌，并添加客户端逻辑以知道何时提供令牌或凭据。

如果我理解正确，您想创建一个“长期API密钥+秘钥”，以便以编程方式访问您的API？
我确实有这个需求，但很遗憾似乎不可能。密钥的最长有效期为1小时。您可以拥有一个有效期为10年的刷新令牌。https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html 我正在寻找一个优雅的解决方案。如果您找到了解决方案，或者自己解决了问题，我很感兴趣听听您的经验。

当我开始使用API网关和Congito时，我经常参考https://github.com/awslabs/aws-serverless-auth-reference-app，发现它非常有帮助，可以演示不同AWS组件之间的集成。

有人找到更优雅的解决方案了吗？

第一个答案似乎把太多的工作推给了我的客户。我不知道调用我的 API 的开发人员的技能水平，我也不希望任何人成为 Cognito 开发人员。更严肃的是，我不想让他们存储多个信息，然后再处理刷新令牌。

我可能会考虑给他们一个刷新令牌。然后我可以做以下两件事之一：

1. 给他们一个刷新方法。我会弄清楚所有奇怪的 Cognito 问题，并将他们的方法简化为只包含刷新令牌的简单有效负载。我会返回给他们要在后续调用中使用的访问令牌。
2. 让他们将刷新令牌传递给我，就像它是访问令牌一样。我会在每次调用时使用它来获取访问令牌，然后使用该令牌调用内部 API。