有1个客户端(UI)应用程序和多个不同的服务。每个账户都属于不同团队拥有的单独的AWS账户。
每个服务都位于API网关的后面。
我要实现的目标:客户端应用程序的用户使用SSO登录,并能够调用不同的服务API。
哪个应用程序(客户端或服务)应拥有一个Cognito池?据我了解,每个资源所有者(在这种情况下,每个服务)都应该拥有自己的Cognito池。客户端应用程序拥有自己的Cognito池是否有意义?如果可以,服务如何识别已登录的用户?
我问这个问题的原因是,如果每个服务都拥有它自己的Cognito池,则它们需要为该池定义一个App-Client并定义重定向URL。没什么道理,此类参数不在服务的控制范围之内。