我在我的应用程序中使用AWS Cognito来验证用户身份。 AWS为我们提供了JWT令牌。我的问题是我们是否需要使用快速会话来处理会话管理,或者AWS Cognito提供的JWT令牌会为经过身份验证的用户负责会话管理。
答案 0 :(得分:-1)
使用Cognito JWT令牌时,您不需要显式会话处理程序。
您可以将JWT令牌发送到客户端并将其存储在Web浏览器(本地存储,会话存储或Cookie)中,该浏览器提供状态的持久性(充当会话并将在令牌持续时间内有效)
对于所有后续请求,您需要将授权标头中的JWT发送回快速服务器。
这会优于会话,如果您的API被除了Web浏览器以外的客户端使用,例如移动应用程序,它可以实现统一的状态管理。
要最大限度地降低在LocalStorage中为需要高安全性的应用程序存储ID令牌的风险,请将令牌持续时间缩短并使用刷新令牌生成新令牌。
注意:如果您使用Cognito Hosted UI,则需要使用Cognito Autorization代码授予流来获取刷新令牌。