是否可以使用Amazon cognito为AWS资源以外的资源提供访问控制?假设我有一个REST API端点,必须进行访问控制。如何使用Amazon cognito为这些终点提供授权?
答案 0 :(得分:2)
有两种类型的Cognito服务可用,即AWS Cognito UserPools和AWS Cognito Federated Identities。
AWS Cognito UserPools是一种身份提供程序,支持AWS内部或外部任何应用程序的身份验证。
假设我有一个必须访问的REST API端点 受控。如何使用提供这些端点的授权 亚马逊认知?
您可以将AWS Cognito UserPools配置为发出名为id_token的JWT令牌(如果指定了openid作用域),可以在内部或外部服务上进行验证。有关验证JWT令牌的更多详细信息,请参阅Using ID Tokens and Access Tokens in your Web APIs。
但是AWS Cognito Federated Identities可以将AWS Resource访问权限联合到外部应用程序。这可能不适合您的使用案例。
答案 1 :(得分:-1)
Cognito Federated Identity服务可以为您的用户创建唯一身份,并将他们与身份提供商联合起来。通过身份,您可以获取临时的,有限权限的AWS凭据,以便与Amazon Cognito Sync同步数据,或直接访问其他AWS服务。 有关详细信息,请参阅此处:http://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html
因此,Cognito Federated Identity服务不为非aws资源提供访问控制。