我的服务需要用户组授权访问数据。
AppSync文档中的组授权示例基于用户池声明。我使用IAM身份验证,因此$ context.identity不包含声明或任何类似信息。
例如,参见主题"用例:组可以创建新记录"在: https://docs.aws.amazon.com/appsync/latest/devguide/security-authorization-use-cases.html
#set($expression = "")
#set($expressionValues = {})
#foreach($group in $context.identity.claims.get("cognito:groups"))
#set( $expression = "${expression} contains(groupsCanAccess, :var$foreach.count )" )
#set( $val = {})
#set( $test = $val.put("S", $group))
#set( $values = $expressionValues.put(":var$foreach.count", $val))
#if ( $foreach.hasNext )
#set( $expression = "${expression} OR" )
#end
#end
{
"version" : "2017-02-28",
"operation" : "PutItem",
"key" : {
## If your table's hash key is not named 'id', update it here. **
"id" : { "S" : "$context.arguments.id" }
## If your table has a sort key, add it as an item here. **
},
"attributeValues" : {
## Add an item for each field you would like to store to Amazon DynamoDB. **
"title" : { "S" : "${context.arguments.title}" },
"content": { "S" : "${context.arguments.content}" },
"owner": {"S": "${context.identity.username}" }
},
"condition" : {
"expression": "attribute_not_exists(id) OR $expression",
"expressionValues": $utils.toJson($expressionValues)
}
}
我希望只从User表中检查用户是否在授予此权限的组中。但是,DynamoDB条件似乎不支持查询其他表。
答案 0 :(得分:0)
今天,我正在使用与您的要求类似的东西。为此,我使用来自Cognito用户池的JWT令牌在放大请求中添加了自定义标头。就我而言,我在Lambda解析器中解析了JWT。对于您的情况,您需要在前端解析JWT令牌,并在自定义标头中将其解析(并编码)发送。在解析器内部,您可以解码标题值并从声明中提取组。