Я использую AWS IAM-защищенный шлюз AWS в сочетании с AWS Cognito Identity Pool, аналогично расширенному упрощенному потоку , описанному AWS с внешним (OpenId) провайдером входа.
Получение учетных данных выполняется:
- перенаправить к провайдеру входа и получить Id-токен при успешной аутентификации пользователя,
- авторизоваться AWS Cognito Identity Pool и назначить аутентифицированную роль IAM,
- получить учетные данные (accessKeyId, secretKey, sessionToken) и
- доступ ко всем защищенным конечным точкам API AWS IAM с этими учетными данными в запросе с подписью aws работает нормально.
Проблема в процессе выхода из системы:
Как я могу убедиться, что после выхода из системы учетные данные, полученные вышеупомянутым процессом, правильно и быстро больше не могут использоваться для доступа к защищенным конечным точкам AWS IAM?
Я не вижу ничего связанного с этим в документации, и просто ждать истечения срока действия учетных данных просто НЕ вариант и довольно серьезная проблема безопасности:
Выход пользователя из системы должен немедленно предотвратить доступ пользователя к API-шлюзу!
Спасибо за вашу помощь!