这是使用AWS Cognito的正确方法吗?

时间:2018-11-04 23:53:51

标签: amazon-web-services authentication jwt amazon-cognito

我正在React / Node App中执行以下操作:

  1. User Pools用于我创建的Cognito应用
  2. 在我的React App中用response_type=token调用/login端点
  3. 一旦收到JWT令牌,就会将其传递到标头中的节点/表达服务器(我的服务器正在使用ssl)
  4. 在节点服务器上,使用cognito-express程序包调用cognitoExpress.validate(accessTokenFromClient, callback)验证令牌
  5. 如果调用成功,则将用户详细信息(电子邮件等)和jwt保存在React App的localStorage

然后,对于服务器的每次调用,我都重复上述步骤3和4(验证jwt),以确保用户已通过身份验证。

我对上述方法的担忧是:

  1. 我不确定cognito-express是否实际上正在调用Cognito,还是只是解码jwt并在本地确定其有效性

  2. 我试图使会话整夜保持打开状态,并且我预计对cognitoExpress.validate(accessTokenFromClient, callback)的调用将失败(因为jwt在一个小时内到期),但是没有成功。这是否意味着已过期的jwt令牌被视为有效声明

  3. 如果用户已通过身份验证并且其JWT已过期,我如何刷新JWT而又不要求他再次登录?

0 个答案:

没有答案
相关问题
最新问题