我正在尝试使用内置的登录对话框与AWS Chalice集成Cognito。这是我尝试过的:
# This passes in correct arn for my pool, not xxxx
authorizer = CognitoUserPoolAuthorizer(
'end_users_dev', provider_arns=['arn:aws:cognito-idp:us-west-2:xxxx])
@app.route('/test', cors=True, authorizer=authorizer)
def test():
return {"result": "Success with authorizer"}
@app.route('/test2', cors=True)
def test2():
return {"result": "Success without authorizer"}
第二种方法(test2)有效,但第一种方法(test)返回(按预期):
{
"message": "Unauthorized"
}
现在,我尝试通过传递标头来进行具有授权的测试:
Authorization: <the token I get passed in from the
built in login page callback as "id_token">
我可以手动验证JWT令牌的内容和签名,并且用户池在API网关中显示为测试资源的“授权”,但是我仍然收到相同的“未经授权”消息。我想念什么?
(注意:我也在https://forums.aws.amazon.com/message.jspa?messageID=871715#871715上发布了此消息,但两天内未收到任何回复)
答案 0 :(得分:3)
我会检查以确保您的IAM策略圣杯正在运行,以允许您访问cognito。
您可以根据需要将这些内容从AmazonCognitoPowerUser策略添加到您的策略中。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cognito-identity:*",
"cognito-idp:*",
"cognito-sync:*",
"iam:ListRoles",
"iam:ListOpenIdConnectProviders",
"sns:ListPlatformApplications"
],
"Resource": "*"
}
]
}
请参见下面的链接“
无论何时使用Chalice部署应用程序,都会将自动生成的策略写入/.chalice/policy.json的磁盘。运行chalice deploy命令时,还可以指定--no-autogen-policy选项。这样做将导致圣杯CLI加载/.chalice/policy.json文件,并将该文件用作IAM角色的策略。如果您想完全控制要与IAM角色关联的IAM策略,则可以手动编辑此文件并指定--no-autogen-policy。
”
如此处的“政策”部分所示:https://github.com/aws/chalice
$ chalice gen-policy
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "9155de6ad1d74e4c8b1448255770e60c"
}
]
}