将外部身份提供者与服务器端身份验证结合使用
Using External Identity Providers with Server Side Authentication
我正在使用适用于 Go 的 AWS 开发工具包来使用 Cognito 进行服务器端身份验证。我已经完成注册和登录并使用用户名和密码工作。我根据 documentation 以及重定向 URL 和文档要求的所有其他内容配置了所有三个外部身份提供者。
我知道如何为内置标志 Up/Sign 在 Cognito 将为您构建的页面中获取 URL,并且这些页面具有 Google/Facebook/Amazon 登录按钮,但我需要能够将这些按钮放在我网站的前端。我不知道该怎么做。
编辑: 请参阅@Stu 的 post 评论,了解为什么将 JS SDK 答案标记为正确答案的详细推理。这可能会发生变化,但暂时不会。 (tldr;aws go sdk 和 cognito 尚不支持此功能)
让我们以 Facebook 为例。当您使用 Cognito UI 时,Facebook 会为您的用户直接将 OAuth 令牌交给 Cognito。 Cognito 会做一些事情,比如检查用户是否已经存在,并在需要时创建一个新用户,然后向您的应用程序发送一个 AWS OAuth 令牌。
现在,如果您想在自己的网站上使用 Facebook 按钮,则身份验证会以不同的方式进行。您必须自己与 Facebook 协商,为用户取回 OAuth 令牌,然后将访问令牌交给 Cognito。 Cognito 会做它的事情并给你一个 AWS OAuth 令牌。
所以,简而言之,您需要按照 Facebook SDK 设置说明进行操作:
https://developers.facebook.com/docs/facebook-login/web
Facebook SDK 在您的会话中放置一个访问令牌,您将其发送给 Cognito。
完整的细节在这里:
https://docs.aws.amazon.com/cognito/latest/developerguide/facebook.html
(参见 javascript 部分)
编辑:我刚刚遇到 AWS Amplify。它有一个包含身份验证组件的客户端 JS 库。如果您使用的是 React,似乎有一种非常简单的方法可以将联合身份(社交媒体登录)与 Cognito https://aws-amplify.github.io/amplify-js/media/authentication_guide.html 连接起来。我没有使用过这项服务,所以现在不能说太多。
您的应用程序要求已超过使用千篇一律的 Cognito 登录流程的程度。
我建议您只处理所有身份验证以自行认知,如下所示:
https://docs.aws.amazon.com/cognito/latest/developerguide/using-amazon-cognito-user-identity-pools-javascript-examples.html
这样,您就可以像这样在您的网站上添加一个 Facebook 登录按钮:
https://docs.aws.amazon.com/cognito/latest/developerguide/facebook.html
FB.login(function (response) {
// Check if the user logged in successfully.
if (response.authResponse) {
console.log('You are now logged in.');
// Add the Facebook access token to the Cognito credentials login map.
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'IDENTITY_POOL_ID',
Logins: {
'graph.facebook.com': response.authResponse.accessToken
}
});
// Obtain AWS credentials
AWS.config.credentials.get(function(){
// Access AWS resources here.
});
} else {
console.log('There was a problem logging you in.');
}
});
然后像这样获取用户:
var data = { UserPoolId : 'us-east-1_Iqc12345',
ClientId : '12345du353sm7khjj1q'
};
var userPool = new AmazonCognitoIdentity.CognitoUserPool(data);
var cognitoUser = userPool.getCurrentUser();
if (cognitoUser != null) {
cognitoUser.getSession(function(err, session) {
if (err) {
alert(err);
return;
}
console.log('session validity: ' + session.isValid());
});
}
其他 Facebook SDK 信息:
https://developers.facebook.com/docs/facebook-login/web
因为您将完成在您的应用程序中设置 Cognito 流程的动作。还有一点,我强烈建议您继续使用 lambda 触发器设置自定义消息。
https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-custom-message.html
更新:
再来一次。
在这里您可以看到一个名为 AdminInitiateAuth 的函数。还有将用户附加到身份提供者的功能。因此,虽然使用 JS SDK 可能是最简单的,但在我看来,这是将 Web 应用程序与 Cognito 集成的解决方案。您可以清楚地处理所有身份验证流程、令牌管理、创建 api 的登录、注销等。服务器端使用 GO SDK
现在可以在 oauth2/authorize 请求中使用 identity_provider prop
在我的代码中看起来像这样
const query = stringify({
response_type: 'code',
redirect_uri: tokenRedirectUri,
state: stateEncoded,
client_id: clientId,
identity_provider: platform,
})
return `https://auth.${domainName}/oauth2/authorize?${query}`
其中 platform 是 Google/Facebook/其他 OIDC 提供商等
那只是url,你需要自己制作按钮,但它会直接重定向到供应商同意
我正在使用适用于 Go 的 AWS 开发工具包来使用 Cognito 进行服务器端身份验证。我已经完成注册和登录并使用用户名和密码工作。我根据 documentation 以及重定向 URL 和文档要求的所有其他内容配置了所有三个外部身份提供者。
我知道如何为内置标志 Up/Sign 在 Cognito 将为您构建的页面中获取 URL,并且这些页面具有 Google/Facebook/Amazon 登录按钮,但我需要能够将这些按钮放在我网站的前端。我不知道该怎么做。
编辑: 请参阅@Stu 的 post 评论,了解为什么将 JS SDK 答案标记为正确答案的详细推理。这可能会发生变化,但暂时不会。 (tldr;aws go sdk 和 cognito 尚不支持此功能)
让我们以 Facebook 为例。当您使用 Cognito UI 时,Facebook 会为您的用户直接将 OAuth 令牌交给 Cognito。 Cognito 会做一些事情,比如检查用户是否已经存在,并在需要时创建一个新用户,然后向您的应用程序发送一个 AWS OAuth 令牌。
现在,如果您想在自己的网站上使用 Facebook 按钮,则身份验证会以不同的方式进行。您必须自己与 Facebook 协商,为用户取回 OAuth 令牌,然后将访问令牌交给 Cognito。 Cognito 会做它的事情并给你一个 AWS OAuth 令牌。
所以,简而言之,您需要按照 Facebook SDK 设置说明进行操作: https://developers.facebook.com/docs/facebook-login/web
Facebook SDK 在您的会话中放置一个访问令牌,您将其发送给 Cognito。
完整的细节在这里: https://docs.aws.amazon.com/cognito/latest/developerguide/facebook.html (参见 javascript 部分)
编辑:我刚刚遇到 AWS Amplify。它有一个包含身份验证组件的客户端 JS 库。如果您使用的是 React,似乎有一种非常简单的方法可以将联合身份(社交媒体登录)与 Cognito https://aws-amplify.github.io/amplify-js/media/authentication_guide.html 连接起来。我没有使用过这项服务,所以现在不能说太多。
您的应用程序要求已超过使用千篇一律的 Cognito 登录流程的程度。
我建议您只处理所有身份验证以自行认知,如下所示: https://docs.aws.amazon.com/cognito/latest/developerguide/using-amazon-cognito-user-identity-pools-javascript-examples.html
这样,您就可以像这样在您的网站上添加一个 Facebook 登录按钮: https://docs.aws.amazon.com/cognito/latest/developerguide/facebook.html
FB.login(function (response) {
// Check if the user logged in successfully.
if (response.authResponse) {
console.log('You are now logged in.');
// Add the Facebook access token to the Cognito credentials login map.
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'IDENTITY_POOL_ID',
Logins: {
'graph.facebook.com': response.authResponse.accessToken
}
});
// Obtain AWS credentials
AWS.config.credentials.get(function(){
// Access AWS resources here.
});
} else {
console.log('There was a problem logging you in.');
}
});
然后像这样获取用户:
var data = { UserPoolId : 'us-east-1_Iqc12345',
ClientId : '12345du353sm7khjj1q'
};
var userPool = new AmazonCognitoIdentity.CognitoUserPool(data);
var cognitoUser = userPool.getCurrentUser();
if (cognitoUser != null) {
cognitoUser.getSession(function(err, session) {
if (err) {
alert(err);
return;
}
console.log('session validity: ' + session.isValid());
});
}
其他 Facebook SDK 信息: https://developers.facebook.com/docs/facebook-login/web
因为您将完成在您的应用程序中设置 Cognito 流程的动作。还有一点,我强烈建议您继续使用 lambda 触发器设置自定义消息。 https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-custom-message.html
更新: 再来一次。
在这里您可以看到一个名为 AdminInitiateAuth 的函数。还有将用户附加到身份提供者的功能。因此,虽然使用 JS SDK 可能是最简单的,但在我看来,这是将 Web 应用程序与 Cognito 集成的解决方案。您可以清楚地处理所有身份验证流程、令牌管理、创建 api 的登录、注销等。服务器端使用 GO SDK
现在可以在 oauth2/authorize 请求中使用 identity_provider prop
在我的代码中看起来像这样
const query = stringify({
response_type: 'code',
redirect_uri: tokenRedirectUri,
state: stateEncoded,
client_id: clientId,
identity_provider: platform,
})
return `https://auth.${domainName}/oauth2/authorize?${query}`
其中 platform 是 Google/Facebook/其他 OIDC 提供商等
那只是url,你需要自己制作按钮,但它会直接重定向到供应商同意