這篇文章將為大家詳細(xì)講解有關(guān)結(jié)合Authing怎樣實現(xiàn)AWS云上的身份認(rèn)證與授權(quán)，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

創(chuàng)新互聯(lián)專注于企業(yè)營銷型網(wǎng)站建設(shè)、網(wǎng)站重做改版、樊城網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5場景定制、商城建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為樊城等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

身份認(rèn)證與 Cognito 服務(wù)介紹

在 Web 或 App 開發(fā)過程中，用戶的認(rèn)證和權(quán)限處理是非常重要的一個模塊，這里包括用戶注冊、登錄認(rèn)證及管理對應(yīng)的權(quán)限。除了用戶名密碼登錄外，通過第三方社交帳號登錄也是非常重要的需求，在國外主要是 Google、Facebook 或 Apple 登錄等，而在國內(nèi)則主要是微信、微博登錄等。

身份認(rèn)證與授權(quán)實現(xiàn)起來相應(yīng)復(fù)雜，因此在 AWS 云上提供了 Cognito 服務(wù)，以幫助開發(fā)者更快、更安全地接入用戶注冊/登錄和訪問控制功能。Cognito 服務(wù)讓企業(yè)可以把更多的精力花在核心業(yè)務(wù)上，去關(guān)注創(chuàng)新、創(chuàng)收，而非過多關(guān)注身份認(rèn)證與授權(quán)相關(guān)的底層技術(shù)細(xì)節(jié)。

Cognito 服務(wù)構(gòu)成：

• Cognito User Pool

即用戶池，為應(yīng)用程序提供注冊和登錄選項的用戶目錄。利用用戶池，用戶可以通過 Cognito 登錄 Web 或 App。用戶還可以通過社交身份提供商（例如 Google、Facebook、Amazon 或 Apple）以及 SAML 身份提供商登錄。

• Cognito Identity Pool

即身份池，或聯(lián)合身份，可以為用戶創(chuàng)建唯一身份，并將它們與身份提供商聯(lián)合。有了身份池，用戶便可以獲取權(quán)限受限的臨時 AWS 憑證以訪問其他 AWS 服務(wù)。身份池可以包括 Cognito User Pool 中的用戶，外部身份提供商（如 Google/Facebook）或基于 OpenID Connect/SAML 的身份提供商進(jìn)行身份驗證的用戶。

Cognito 應(yīng)用場景：

目前 Cognito 被廣泛應(yīng)用在客戶創(chuàng)建的 Web 或 App 中，也應(yīng)用在許多 AWS Solutions 中。目前主要是兩個使用場景：

• API Gateway 可以集成 Cognito User Pool 進(jìn)行用戶身份認(rèn)證與授權(quán)，方便對 API 進(jìn)行保護(hù)。

• 結(jié)合 Cognito Identity Pool 來在 Web 或移動端安全地獲取 AWS 臨時憑證，進(jìn)而訪問其他 AWS 服務(wù)。

Cognito User Pool 在國內(nèi)區(qū)域的替代方案

目前 AWS 國內(nèi)區(qū)域上線了 Cognito Identity Pool，但 Cognito User Pool 暫未上線。因此我們在這個博客里會探索如何在現(xiàn)階段找到 Cognito User Pool 的替代方案。我們的基本思路是找到一個基于 OpenID Connect 協(xié)議的認(rèn)證服務(wù)，可以是第三方 SaaS（如 Authing，Auth0 等），或是自建（如基于開源的 Keycloark 軟件等）。由于 Authing 是 AWS 在國內(nèi)的合作伙伴，我們在這里會并以一個常見的網(wǎng)站為例，探討如何使用 Authing 來做為 Cognito User Pool 的替代方案，描述相關(guān)的技術(shù)原理，并介紹如何進(jìn)行部署。

1. 架構(gòu)設(shè)計

演示網(wǎng)站整體架構(gòu)如下：

• 通過 S3 進(jìn)行靜態(tài)網(wǎng)站托管, 并利用 Cloudfront 進(jìn)行靜態(tài)內(nèi)容加速和 HTTPS 證書掛載。

• 通過 Authing 進(jìn)行登錄認(rèn)證并獲取令牌，作為 User Pool 的替代方案。

• 訪問 API Gateway 提供的 REST API。

• 通過 Cognito Identity Pool 獲取臨時 AWS 憑證，訪問 AWS 資源（這里以 Polly 服務(wù)為例）。

演示網(wǎng)站目前已部署在 AWS 國內(nèi)區(qū)域, 鏈接如下：

https://authing.demo.cbuilder.tech/

進(jìn)行簡單的用戶注冊后可以查看訪問效果。

通過 Authing 進(jìn)行登錄認(rèn)證并獲取令牌

Authing 基于 OIDC 和 OAuth 2.0 對用戶進(jìn)行身份驗證，并授予用用戶訪問對應(yīng)的應(yīng)用的權(quán)限，使用場景如上圖所示。

1. 在第一步中，用戶通過 Authing 用戶池請求登錄，并在成功進(jìn)行身份驗證后，從服務(wù)器獲取到 code。

2. 接下來，應(yīng)用程序通過身份池帶著 code 請求 token。

3. 最后，用戶可以使用 token 來請求訪問各種應(yīng)用資源。

上圖介紹了OIDC Authorization Code Flow來獲取Token, 用戶也可以通過OIDC Implicit Flow 來獲取Token。本示例使用的是Implicit Flow， 關(guān)于這兩種流程的對比可以參考這個鏈接 。

訪問 API Gateway 提供的受保護(hù)的 REST API

通過 Authing 登錄認(rèn)證后，可獲取令牌（即 id token）。通過發(fā)送 HTTP 請求時在 header 攜帶令牌，即可訪問受保護(hù)的 REST API。

通過與 Identity Pool 集成安全訪問 AWS 服務(wù)

通過 Authing 登錄認(rèn)證后，可獲取令牌（即 id token）。通過與 Identity Pool 集成來獲取臨時憑證，進(jìn)而安全地訪問 AWS 資源

2. 方案部署

演示網(wǎng)站的前端和后端代碼均已發(fā)布在 Github:

https://github.com/linjungz/aws-authing-demo

可參照相關(guān)代碼進(jìn)行部署和測試

2.1 Authing 帳號開通與 OIDC 應(yīng)用配置

首先需要先在 Authing 中創(chuàng)建 OIDC 應(yīng)用，具體可以參考Authing 相關(guān)的幫助文檔。這個演示環(huán)境使用的是 Implicit Flow，并使用 RS256 算法進(jìn)行 id token 簽名，可參考如下進(jìn)行回調(diào) URL、授權(quán)模式、返回類型等設(shè)置：

2.2 通過 SAM 部署 API Gateway 與 Lambda

由于 id token 使用 RS256 算法進(jìn)行加密，因此需要在 Lambda Authorizer 中設(shè)置相應(yīng)密鑰，以便進(jìn)行 token 驗證。具體可以參考示例代碼app.js中的相關(guān)注釋 。

演示環(huán)境中 API Gateway 及相關(guān) Lambda 已經(jīng)描述在一個 AWS SAM 模板（template.yaml）中，通過 SAM 可以直接進(jìn)行自動部署：

$ sam build
$ sam deploy --guided

2.3 Authing 與 Identity Pool 集成的配置

• 配置 OIDC Provider

• Provider URL : 即為 Authing 應(yīng)用對應(yīng)的 issuer, 比如本示例使用的 issuer 為：https://aws-oidc-demo-implicitflow.authing.cn/oauth/oidc。

• Audience: 即為 Authing 應(yīng)用對應(yīng)的 App ID。

創(chuàng)建成功后如下所示：

具體配置可參考AWS 相關(guān)官方文檔。

• 配置 Cognito Identity Pool

指定 Authing 做為 Authenticated Provider :

同時，Cognito Identity Pool 會分別創(chuàng)建兩個 IAM Role（針對認(rèn)證用戶和匿名用戶），需要對認(rèn)證用戶的 IAM Role 進(jìn)行權(quán)限設(shè)定，示例網(wǎng)站使用了 Polly 服務(wù)，因此需要添加訪問 Polly 的權(quán)限。

2.4 部署靜態(tài)網(wǎng)站做為前端演示

前端演示頁面 可以上傳到 S3 桶，并開啟 S3 靜態(tài)網(wǎng)站托管功能，注意需要在前面增加 Cloudfront 并添加 HTTPS 證書; 或者可以選擇部署在一臺 EC2 上。

從上述示例代碼可以看到，通過將 Authing 與 AWS 相關(guān)服務(wù)進(jìn)行集成，可以快速建立一個托管的用戶池，并對 AWS 的相關(guān)資源（如 API 網(wǎng)關(guān)，S3, IoT, AI 等服務(wù)）實現(xiàn)安全的調(diào)用，實現(xiàn)類似于 Cognito User Pool 服務(wù)的功能。

關(guān)于結(jié)合Authing怎樣實現(xiàn)AWS云上的身份認(rèn)證與授權(quán)就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

當(dāng)前題目：結(jié)合Authing怎樣實現(xiàn)AWS云上的身份認(rèn)證與授權(quán)
網(wǎng)頁網(wǎng)址：http://jinyejixie.com/article14/pgggde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、云服務(wù)器、商城網(wǎng)站、標(biāo)簽優(yōu)化、關(guān)鍵詞優(yōu)化、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)