AWS Cognito 上未经身份验证的用户到经过身份验证的用户
Unauthenticated user to authenticated user on AWS Cognito
我的代码在这里:
转贴是因为我想问一个更直接的问题。如何在未经身份验证的用户和经过身份验证的用户之间切换?我未经身份验证的似乎已缓存,我使用了这些方法:
[credentialsProvider clearCredentials];
[credentialsProvider clearKeychain];
在我的 api 代码的其余部分之前,它仍然无法正常工作。感谢任何帮助
注意:我知道它不起作用,因为我在切换 configuration/credentials 提供商后立即使用 lambda 进行调用,只有授权用户才能调用此方法。
编辑@behrooziAWS 回答:
API 代码:
id<AWSCognitoIdentityProvider> identityProvider = [[DeveloperIdentityProviderClass alloc] initWithRegionType:AWSRegionUSEast1
identityId:nil
identityPoolId:@"SOMEIDENTITYPOOLID"
logins:@{@"MYIDENTITYPROVIDERNAME": @"MYUSERNAME"}
providerName:@"MYIDENTITYPROVIDERNAME"
];
[credentialsProvider setIdentityProvider:identityProvider];
[credentialsProvider setLogins:@{@"MYIDENTITYPROVIDERNAME": @"MYUSERNAME"}];
[[credentialsProvider refresh] continueWithBlock:^id(BFTask *task){
[self testAuth];
return [BFTask taskWithResult:nil];
}];
完整错误:
BusyTime[27043:7097936] AWSiOSSDKv2 [详细] AWSURLResponseSerialization.m line:87 | -[AWSJSONResponseSerializer responseObjectForResponse:originalRequest:currentRequest:data:error:] |响应正文:[{"message":"The security token included in the request is invalid."}]
2015-10-20 08:51:17.280 BusyTime[27043:7097936] 错误:错误域=com.amazonaws.AWSLambdaErrorDomain 代码=0 "The operation couldn’t be completed. UnrecognizedClientException" UserInfo=0x7ff27ab41150 {NSLocalizedFailureReason=UnrecognizedClientException,responseStatusCode=403,消息=请求中包含的安全令牌无效。, responseHeaders={type = immutable dict, count = 6,
重要编辑:我已将刷新硬编码为使用工作令牌和 identityId。所以:
self.identityId = @"someID";
self.token = @"someToken";
return [super getIdentityId];
然后我的所有代码都可以正常工作。但显然这是不可持续的,我需要能够调用 aws lambda 来刷新我的凭据。但是当我设置我的身份提供者并设置我的登录名时,我认为它正在将我更改为我的身份验证版本,但我需要处于未经身份验证的状态才能调用 aws lambda。 请参考我上面的代码 link 并查看我的刷新方法以了解我试图描述的内容。另外请让我知道这是否应该放在新线程中,因为这是一个稍微不同的问题。不太熟悉 Whosebug 的问题政策。
另一个错误:[{"Message":"User: arn:aws:sts::445291524102:assumed-role/Cognito_BusyTimeAuth_Role/CognitoIdentityCredentials is not authorized to perform: lambda:InvokeFunction on resource: arn:aws:lambda:us-east-1:445291524102:function:login"}],所以现在我假设我的身份验证提供程序用于我的刷新,这是不正确的登录流程。我在想我把它调高,这样我就可以登录 API class。当我 return 我的身份 ID 和令牌时,我将它们保存到钥匙串中。最后,我使用上面的 API 代码来切换我的登录,在我的刷新方法中,我只是 return 我在钥匙串中找到的内容。唯一的问题是我不确定这个流程是否正确,因为它实际上 "refresh" 因为我没有调用我的后端。我想知道我是否可以通过从我的 unauth 角色来回切换到我的 auth 角色来包装刷新,但这看起来很乱。
[credentialsProvder clearKeychain]
将清除 identityId、凭据和任何登录信息,因此不需要 clearCredentials:clearKeychain Documentation
通常您不想在转换为经过身份验证的用户时清除您的身份 ID。如果您只需将提供者和有效登录令牌添加到登录映射并调用 [credentialsProvider refresh]
,您将使用相同的身份 ID 进行身份验证。从那时起,如果您提供有效的登录令牌,您将只能访问该身份。如果您想通过注销来切换身份,然后以经过身份验证的用户身份登录,那就是当您使用 clearKeychain
.
我的代码在这里:
[credentialsProvider clearCredentials];
[credentialsProvider clearKeychain];
在我的 api 代码的其余部分之前,它仍然无法正常工作。感谢任何帮助
注意:我知道它不起作用,因为我在切换 configuration/credentials 提供商后立即使用 lambda 进行调用,只有授权用户才能调用此方法。
编辑@behrooziAWS 回答:
API 代码:
id<AWSCognitoIdentityProvider> identityProvider = [[DeveloperIdentityProviderClass alloc] initWithRegionType:AWSRegionUSEast1
identityId:nil
identityPoolId:@"SOMEIDENTITYPOOLID"
logins:@{@"MYIDENTITYPROVIDERNAME": @"MYUSERNAME"}
providerName:@"MYIDENTITYPROVIDERNAME"
];
[credentialsProvider setIdentityProvider:identityProvider];
[credentialsProvider setLogins:@{@"MYIDENTITYPROVIDERNAME": @"MYUSERNAME"}];
[[credentialsProvider refresh] continueWithBlock:^id(BFTask *task){
[self testAuth];
return [BFTask taskWithResult:nil];
}];
完整错误: BusyTime[27043:7097936] AWSiOSSDKv2 [详细] AWSURLResponseSerialization.m line:87 | -[AWSJSONResponseSerializer responseObjectForResponse:originalRequest:currentRequest:data:error:] |响应正文:[{"message":"The security token included in the request is invalid."}] 2015-10-20 08:51:17.280 BusyTime[27043:7097936] 错误:错误域=com.amazonaws.AWSLambdaErrorDomain 代码=0 "The operation couldn’t be completed. UnrecognizedClientException" UserInfo=0x7ff27ab41150 {NSLocalizedFailureReason=UnrecognizedClientException,responseStatusCode=403,消息=请求中包含的安全令牌无效。, responseHeaders={type = immutable dict, count = 6,
重要编辑:我已将刷新硬编码为使用工作令牌和 identityId。所以:
self.identityId = @"someID";
self.token = @"someToken";
return [super getIdentityId];
然后我的所有代码都可以正常工作。但显然这是不可持续的,我需要能够调用 aws lambda 来刷新我的凭据。但是当我设置我的身份提供者并设置我的登录名时,我认为它正在将我更改为我的身份验证版本,但我需要处于未经身份验证的状态才能调用 aws lambda。 请参考我上面的代码 link 并查看我的刷新方法以了解我试图描述的内容。另外请让我知道这是否应该放在新线程中,因为这是一个稍微不同的问题。不太熟悉 Whosebug 的问题政策。
另一个错误:[{"Message":"User: arn:aws:sts::445291524102:assumed-role/Cognito_BusyTimeAuth_Role/CognitoIdentityCredentials is not authorized to perform: lambda:InvokeFunction on resource: arn:aws:lambda:us-east-1:445291524102:function:login"}],所以现在我假设我的身份验证提供程序用于我的刷新,这是不正确的登录流程。我在想我把它调高,这样我就可以登录 API class。当我 return 我的身份 ID 和令牌时,我将它们保存到钥匙串中。最后,我使用上面的 API 代码来切换我的登录,在我的刷新方法中,我只是 return 我在钥匙串中找到的内容。唯一的问题是我不确定这个流程是否正确,因为它实际上 "refresh" 因为我没有调用我的后端。我想知道我是否可以通过从我的 unauth 角色来回切换到我的 auth 角色来包装刷新,但这看起来很乱。
[credentialsProvder clearKeychain]
将清除 identityId、凭据和任何登录信息,因此不需要 clearCredentials:clearKeychain Documentation
通常您不想在转换为经过身份验证的用户时清除您的身份 ID。如果您只需将提供者和有效登录令牌添加到登录映射并调用 [credentialsProvider refresh]
,您将使用相同的身份 ID 进行身份验证。从那时起,如果您提供有效的登录令牌,您将只能访问该身份。如果您想通过注销来切换身份,然后以经过身份验证的用户身份登录,那就是当您使用 clearKeychain
.