我有一个用户管理系统,正在使用AWS-Cognito userPool进行注册/登录过程。我需要为这些用户分配角色。
例如:超级管理员,引荐等。
超级管理员角色负责添加/删除/编辑用户。 是否有任何方法可以通过使用userPool功能来做到这一点? 另外,是否可以通过AWS控制台而不是通过API分配角色?
答案 0 :(得分:2)
超级管理员角色负责添加/删除/编辑用户。有没有办法通过使用userPool功能来做到这一点?
您可以assign IAM roles to groups。例如,如果您创建一个分配给superadminrole组的superadmingroup,那么超级管理员将根据Actions for Amazon Cognito User Pools采取适当的操作,例如cognito-idp:AdminCreateUser,cognito-idp:AdminDeleteUser,cognito-idp:AdminAddUserToGroup,cognito-idp:ListUsers,cognito-idp:ListUsersInGroup等。然后,已登录的超级管理员可以执行相应的用户任务。还请阅读Developers and administrators can perform the following tasks的列表,以查看可用的操作。
还可以通过AWS控制台而不是通过API分配角色吗?
是,是从AWS Cognito开发人员指南(强调我的) 的Viewing User Attributes部分复制的:
从AWS管理控制台的Amazon Cognito主页中,选择管理用户身份。
从您的用户池页面选择用户池。
选择用户和组以查看用户信息。
选择一个用户名以显示有关单个用户的更多信息。在此屏幕上,您可以执行以下任何操作:
- 将用户添加到组
- 重置用户密码
- 确认用户
- 启用或禁用MFA
- 删除用户
答案 1 :(得分:1)
AWS Cognito支持基于角色的访问控制,这可能是您的用例。
请参阅:https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html
答案 2 :(得分:0)
我刚刚在 Spring Boot 项目中遇到了这个问题,但没有找到最新的答案。我遇到的一切都是针对 Spring Security 5.4 之前的版本。所以我想我会把它放在那里来帮助其他正在寻找答案的人。
cognito 中的角色似乎以 IAM 访问为导向。为了在我的应用程序中为用户设置角色,我在用户和组部分添加了组来处理角色等元数据。
所以,我有“ROLE:ADMIN”、“ROLE:PREMIUM”等组
然后我在我的 spring boot 应用程序中设置了一个 OAuth2 登录安全配置。将这些依赖项放在您的 maven 文件中:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-jose</artifactId>
</dependency>
您将需要这些属性:
app.url=http://localhost:8080
cognito.region=<aws region>
cognito.poolId=<your pool id>
cognito.poolName=<your pool name>
cognito.rooturl=https://${cognito.poolName}.auth.${cognito.region}.amazoncognito.com
spring.security.oauth2.client.registration.cognito.provider=cognito
spring.security.oauth2.client.registration.cognito.client-id=<your client id>
spring.security.oauth2.client.registration.cognito.client-secret=<your client secret>
spring.security.oauth2.client.registration.cognito.client-name=${cognito.poolName}
spring.security.oauth2.client.registration.cognito.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.cognito.scope=email,openid
spring.security.oauth2.client.registration.cognito.redirect-uri=${app.url}/login/oauth2/code/cognito
spring.security.oauth2.client.provider.cognito.authorizationUri=${cognito.rooturl}/oauth2/authorize
spring.security.oauth2.client.provider.cognito.tokenUri=${cognito.rooturl}/oauth2/token
spring.security.oauth2.client.provider.cognito.jwkSetUri=https://cognito-idp.${cognito.region}.amazonaws.com/${cognito.poolId}/.well-known/jwks.json
spring.security.oauth2.client.provider.cognito.user-info-uri=${cognito.rooturl}/oauth2/userInfo
spring.security.oauth2.client.provider.cognito.userNameAttribute=username
这将使您登录,并且您的令牌将在其声明中包含一个“cognito:groups”列表。要将其取出并放入权限中,您需要创建 OAuth2UserService
public class CognitoOIDCUserService implements OAuth2UserService<OidcUserRequest, OidcUser> {
private static final String ROLE_PREFIX = "ROLE:";
@Override
public OidcUser loadUser(OidcUserRequest userRequest) throws OAuth2AuthenticationException {
Map<String, Object> parameters = userRequest.getIdToken().getClaims();
List<String> groups = (List<String>) parameters.get("cognito:groups");
List<GrantedAuthority> authorities =
groups.stream().filter(group -> group.startsWith(ROLE_PREFIX))
.map(group -> group.substring(ROLE_PREFIX.length()))
.map(role -> new SimpleGrantedAuthority("ROLE_" + role))
.collect(Collectors.toList());
return new DefaultOidcUser(authorities, userRequest.getIdToken(), "cognito:username");
}
}
然后将其添加到您的安全配置中:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private CognitoAuthenticationSuccessHandler successHandler;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf()
.and()
.authorizeRequests(authz -> authz.mvcMatchers("/")
.permitAll()
.anyRequest()
.authenticated())
.oauth2Login()
.userInfoEndpoint(userInfo -> userInfo.oidcUserService(new CognitoOIDCUserService()))
.successHandler(successHandler)
.and()
.logout()
.logoutSuccessUrl("/");
}
}
然后你就会拥有它。