如何使用 Appsync 在 Cognito 中授予对某些用户组的访问权限
How to give access to certain user groups in cognito using Appsync
我最近进入了 AWS,我正在使用 appsync 和 dynamo table 以及用户 ID 的索引(来自 cognito 池),只允许特定用户访问特定数据。现在我想进一步扩展这一点,并允许访问某些认知组。这是我的代码:
第一。我的变异
## [Start] Prepare DynamoDB PutItem Request. **
$util.qr($context.args.input.put("createdAt", $util.time.nowISO8601()))
$util.qr($context.args.input.put("updatedAt", $util.time.nowISO8601()))
$util.qr($context.args.input.put("__typename", "Patient"))
## This line adds the userId, accessed from the $ctx.identity variable
$util.qr($context.args.input.put("userId", $ctx.identity.sub))
$util.qr($context.args.input.put("Groupi", $ctx.identity.claims.get("cognito:groups")))
{
"version": "2017-02-28",
"operation": "PutItem",
"key": {
"id": $util.dynamodb.toDynamoDBJson($util.defaultIfNullOrBlank($ctx.args.input.id, $util.autoId()))
},
"attributeValues": $util.dynamodb.toMapValuesJson($context.args.input),
"condition": {
"expression": "attribute_not_exists(#id)",
"expressionNames": {
"#id": "id"
}
}
}
和查询
#set( $limit = $util.defaultIfNull($context.args.limit, 10) )
{
"version" : "2017-02-28",
"operation" : "Query",
"limit": $limit,
"index": "userId-index",
"query" : {
"expression": "userId = :userId",
"expressionValues" : {
":userId" : $util.dynamodb.toDynamoDBJson($ctx.identity.sub)
}
},
"nextToken": #if( $context.args.nextToken )
"$context.args.nextToken"
#else
null
#end
}
我想扩展查询以支持 t6he 组。帮助将不胜感激。
谢谢!
授权文档中有很多您可能会觉得有用的示例:https://docs.aws.amazon.com/appsync/latest/devguide/security-authorization-use-cases.html
具体来说,这个:
#set($expression = "")
#set($expressionValues = {})
#foreach($group in $context.identity.claims.get("cognito:groups"))
#set( $expression = "${expression} contains(groupsCanAccess, :var$foreach.count )" )
#set( $val = {})
#set( $test = $val.put("S", $group))
#set( $values = $expressionValues.put(":var$foreach.count", $val))
#if ( $foreach.hasNext )
#set( $expression = "${expression} OR" )
#end
#end
{
"version" : "2017-02-28",
"operation" : "Scan",
"limit": #if(${context.arguments.count}) "${context.arguments.count}" #else 20 #end,
"nextToken": #if(${context.arguments.nextToken}) "${context.arguments.nextToken}" #else null #end,
"filter":{
"expression": "$expression",
"expressionValues": $utils.toJson($expressionValues)
}
}
该示例有一些额外的信息,因为它是关于列表调用而不是简单的获取,但是您可以看到它是在 expression/expression 值中设置的。此实现看起来与您拥有的略有不同,因为它允许用户在多个组中,其中任何一个都可以工作。
这有意义吗?
此处的其他示例似乎更适合 'fine grained access control' 部分,根据您的需要,这可能是正确的选择:
对于更一般的情况,如果您查看 'Security' 文档页面,还有一个很好的示例说明如何直接在 GraphQL 架构中使用指令:
特别是对于您的用例,@aws_auth 或 @aws_cognito_user_pools 指令似乎相关。完整列表是:
@aws_api_key - 指定字段是 API_KEY 授权。@aws_iam - 指定该字段是 AWS_IAM 授权的。@aws_oidc - 指定该字段是 OPENID_CONNECT 授权的。@aws_cognito_user_pools - 指定该字段是 AMAZON_COGNITO_USER_POOLS 授权的。
要从文档页面复制示例:
type Query {
posts:[Post!]!
@aws_auth(cognito_groups: ["Bloggers", "Readers"])
}
type Mutation {
addPost(id:ID!, title:String!):Post!
@aws_auth(cognito_groups: ["Bloggers"])
}
我最近进入了 AWS,我正在使用 appsync 和 dynamo table 以及用户 ID 的索引(来自 cognito 池),只允许特定用户访问特定数据。现在我想进一步扩展这一点,并允许访问某些认知组。这是我的代码:
第一。我的变异
## [Start] Prepare DynamoDB PutItem Request. **
$util.qr($context.args.input.put("createdAt", $util.time.nowISO8601()))
$util.qr($context.args.input.put("updatedAt", $util.time.nowISO8601()))
$util.qr($context.args.input.put("__typename", "Patient"))
## This line adds the userId, accessed from the $ctx.identity variable
$util.qr($context.args.input.put("userId", $ctx.identity.sub))
$util.qr($context.args.input.put("Groupi", $ctx.identity.claims.get("cognito:groups")))
{
"version": "2017-02-28",
"operation": "PutItem",
"key": {
"id": $util.dynamodb.toDynamoDBJson($util.defaultIfNullOrBlank($ctx.args.input.id, $util.autoId()))
},
"attributeValues": $util.dynamodb.toMapValuesJson($context.args.input),
"condition": {
"expression": "attribute_not_exists(#id)",
"expressionNames": {
"#id": "id"
}
}
}
和查询
#set( $limit = $util.defaultIfNull($context.args.limit, 10) )
{
"version" : "2017-02-28",
"operation" : "Query",
"limit": $limit,
"index": "userId-index",
"query" : {
"expression": "userId = :userId",
"expressionValues" : {
":userId" : $util.dynamodb.toDynamoDBJson($ctx.identity.sub)
}
},
"nextToken": #if( $context.args.nextToken )
"$context.args.nextToken"
#else
null
#end
}
我想扩展查询以支持 t6he 组。帮助将不胜感激。 谢谢!
授权文档中有很多您可能会觉得有用的示例:https://docs.aws.amazon.com/appsync/latest/devguide/security-authorization-use-cases.html
具体来说,这个:
#set($expression = "")
#set($expressionValues = {})
#foreach($group in $context.identity.claims.get("cognito:groups"))
#set( $expression = "${expression} contains(groupsCanAccess, :var$foreach.count )" )
#set( $val = {})
#set( $test = $val.put("S", $group))
#set( $values = $expressionValues.put(":var$foreach.count", $val))
#if ( $foreach.hasNext )
#set( $expression = "${expression} OR" )
#end
#end
{
"version" : "2017-02-28",
"operation" : "Scan",
"limit": #if(${context.arguments.count}) "${context.arguments.count}" #else 20 #end,
"nextToken": #if(${context.arguments.nextToken}) "${context.arguments.nextToken}" #else null #end,
"filter":{
"expression": "$expression",
"expressionValues": $utils.toJson($expressionValues)
}
}
该示例有一些额外的信息,因为它是关于列表调用而不是简单的获取,但是您可以看到它是在 expression/expression 值中设置的。此实现看起来与您拥有的略有不同,因为它允许用户在多个组中,其中任何一个都可以工作。
这有意义吗?
此处的其他示例似乎更适合 'fine grained access control' 部分,根据您的需要,这可能是正确的选择:
对于更一般的情况,如果您查看 'Security' 文档页面,还有一个很好的示例说明如何直接在 GraphQL 架构中使用指令:
特别是对于您的用例,@aws_auth 或 @aws_cognito_user_pools 指令似乎相关。完整列表是:
@aws_api_key- 指定字段是API_KEY授权。@aws_iam- 指定该字段是AWS_IAM授权的。@aws_oidc- 指定该字段是OPENID_CONNECT授权的。@aws_cognito_user_pools- 指定该字段是AMAZON_COGNITO_USER_POOLS授权的。
要从文档页面复制示例:
type Query {
posts:[Post!]!
@aws_auth(cognito_groups: ["Bloggers", "Readers"])
}
type Mutation {
addPost(id:ID!, title:String!):Post!
@aws_auth(cognito_groups: ["Bloggers"])
}