我有一个需要符合GDPR要求的移动应用程序。我们正在使用AWS放大和appsync,但我们不清楚如何使用Cognito身份验证令牌。我们是否需要将令牌存储在数据库中以将其与用户相关联?
我们担心的是,一旦对用户进行身份验证,除非我们存储身份验证令牌,否则客户端将不知道哪个用户数据与该身份相关联。
答案 0 :(得分:1)
您不需要存储令牌。 Cognito Auth令牌是JWT令牌。 JWT令牌中可以包含自定义有效负载。您所需的一切都已包含在其中。在颁发令牌时,您可以传递字面上的任何内容,例如userId,phoneNumber等...任何自定义数据。
例如,如果您使用apigateway触发lambda并使用认知池进行授权,则会在sub字段中自动获得claims等,您将在客户端中标识用户(在这种情况下,客户端是lambda)
如果您使用的是自定义lambda授权者,您仍然可以使用cognito用户池,但是这次您绝对可以将任何自定义数据嵌入令牌中以供以后使用。
使用您的令牌玩jwt.io,您将已经看到其中的内容。