AWS Cognito:无法获取凭证
AWS Cognito: Can't get Credentials
我无法获得我的 CognitoIdentity 的凭据。当用户通过身份验证成功后,他需要获得一个身份才能访问其他 AWS 服务。在我的例子中就是 AWS IoT。但不知何故,我无法获得任何凭证。
这是错误消息:
Error retrieving credentials: NotAuthorizedException: Access to
Identity 'eu-central-1:XXXXXXXXXX' is
forbidden.
我的代码与 Github 上的教程几乎一模一样:
var cognitoUser = new AWSCognito.CognitoUser(userData);
cognitoUser.authenticateUser(authenticationDetails, {
onSuccess: function (result) {
console.log("Logged in");
console.log('access token + ' + result.getAccessToken().getJwtToken());
// window.location.href = "index.html";
AWS.config.region = AWSConfiguration.region;
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: AWSConfiguration.IdPoolId,
Logins : {
'cognito-idp.eu-central-1.amazonaws.com/eu-central-1_XXXX' : result.getIdToken().getJwtToken()
}
});
var cognitoIdentity = new AWS.CognitoIdentity();
AWS.config.credentials.get(function(err, data) {
if (!err) {
console.log('retrieved identity: ' + AWS.config.credentials.identityId);
var params = {
IdentityId: AWS.config.credentials.identityId
};
cognitoIdentity.getCredentialsForIdentity(params, function(err, data) {
if (!err) {
thingShadows.updateWebSocketCredentials(data.credentials.AccessKeyId,
data.credentials.SecretKey,
data.credentials.SessionToken);
}
else {
console.log('error retrieving credentials: ' + err);
}
});
}
else {
console.log('error retrieving identity:' + err);
}
});
}
});
请注意,我跳过了不相关的代码。
经过身份验证的用户可以完全访问我正在使用的所有 AWS 服务。
我认为你不需要打电话给 cognitoIdentity.getCredentialsForIdentity()。当您调用 AWS.config.credentials.get() 时,您的 IAM 密钥应放入 AWS.config.credentials 对象中。您可以在调用时提供的回调中直接访问它们。
换句话说,当您从 retrieved identity: 注销到控制台时,凭据对象中应该已经包含您的密钥、访问密钥 ID 和会话令牌。
所有这些(提供或使用大括号):
var params = {
IdentityId: AWS.config.credentials.identityId
};
cognitoIdentity.getCredentialsForIdentity(params, function(err, data) {
if (!err) {
thingShadows.updateWebSocketCredentials(data.credentials.AccessKeyId,
data.credentials.SecretKey,
data.credentials.SessionToken);
}
else {
console.log('error retrieving credentials: ' + err);
}
});
大概可以换成这样:
thingShadows.updateWebSocketCredentials(AWS.config.credentials.accessKeyId,
AWS.config.credentials.secretKey,
AWS.config.credentials.sessionToken);
如果您传入包含用户池 ID 和访问令牌的 Logins 映射,getCredentialsForIdentity() 调用 可能会 成功;我没有测试它。我还没有 运行 进入我需要使用这个特定 API 的用例,我怀疑你也不需要它。
资料来源:我在 100% javascript 应用程序上工作,该应用程序同时使用经过身份验证和未经身份验证的 Cognito 身份。我们不会在任何地方调用 getCredentialsForIdentity(),尝试插入它会产生与您遇到的相同的错误。
我无法获得我的 CognitoIdentity 的凭据。当用户通过身份验证成功后,他需要获得一个身份才能访问其他 AWS 服务。在我的例子中就是 AWS IoT。但不知何故,我无法获得任何凭证。
这是错误消息:
Error retrieving credentials: NotAuthorizedException: Access to Identity 'eu-central-1:XXXXXXXXXX' is forbidden.
我的代码与 Github 上的教程几乎一模一样:
var cognitoUser = new AWSCognito.CognitoUser(userData);
cognitoUser.authenticateUser(authenticationDetails, {
onSuccess: function (result) {
console.log("Logged in");
console.log('access token + ' + result.getAccessToken().getJwtToken());
// window.location.href = "index.html";
AWS.config.region = AWSConfiguration.region;
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: AWSConfiguration.IdPoolId,
Logins : {
'cognito-idp.eu-central-1.amazonaws.com/eu-central-1_XXXX' : result.getIdToken().getJwtToken()
}
});
var cognitoIdentity = new AWS.CognitoIdentity();
AWS.config.credentials.get(function(err, data) {
if (!err) {
console.log('retrieved identity: ' + AWS.config.credentials.identityId);
var params = {
IdentityId: AWS.config.credentials.identityId
};
cognitoIdentity.getCredentialsForIdentity(params, function(err, data) {
if (!err) {
thingShadows.updateWebSocketCredentials(data.credentials.AccessKeyId,
data.credentials.SecretKey,
data.credentials.SessionToken);
}
else {
console.log('error retrieving credentials: ' + err);
}
});
}
else {
console.log('error retrieving identity:' + err);
}
});
}
});
请注意,我跳过了不相关的代码。 经过身份验证的用户可以完全访问我正在使用的所有 AWS 服务。
我认为你不需要打电话给 cognitoIdentity.getCredentialsForIdentity()。当您调用 AWS.config.credentials.get() 时,您的 IAM 密钥应放入 AWS.config.credentials 对象中。您可以在调用时提供的回调中直接访问它们。
换句话说,当您从 retrieved identity: 注销到控制台时,凭据对象中应该已经包含您的密钥、访问密钥 ID 和会话令牌。
所有这些(提供或使用大括号):
var params = {
IdentityId: AWS.config.credentials.identityId
};
cognitoIdentity.getCredentialsForIdentity(params, function(err, data) {
if (!err) {
thingShadows.updateWebSocketCredentials(data.credentials.AccessKeyId,
data.credentials.SecretKey,
data.credentials.SessionToken);
}
else {
console.log('error retrieving credentials: ' + err);
}
});
大概可以换成这样:
thingShadows.updateWebSocketCredentials(AWS.config.credentials.accessKeyId,
AWS.config.credentials.secretKey,
AWS.config.credentials.sessionToken);
如果您传入包含用户池 ID 和访问令牌的 Logins 映射,getCredentialsForIdentity() 调用 可能会 成功;我没有测试它。我还没有 运行 进入我需要使用这个特定 API 的用例,我怀疑你也不需要它。
资料来源:我在 100% javascript 应用程序上工作,该应用程序同时使用经过身份验证和未经身份验证的 Cognito 身份。我们不会在任何地方调用 getCredentialsForIdentity(),尝试插入它会产生与您遇到的相同的错误。