Распространение CloudFront с помощью OpenIdc с проверкой подлинности WebApp

Question

У меня есть веб-приложение (размещенное на EC2, созданное ALB), которое аутентифицировано с помощью OpenID Connect (провайдер Ping Fed), и мы планируем создать дистрибутив AWS Cloudfront поверх него, чтобы глобальные пользователи могли повысить производительность.

Когда я читаю документацию Cloudfront, в нем говорится, что пользовательское приложение-источник должно быть общедоступным (из документации «для CloudFront для получения ваших файлов с HTTP-сервера файлы должны оставаться общедоступными»).

Означает ли это, что мне нужно удалить OpenID AuthN и вместо этого использовать подписанные URL-адреса или файлы cookie, а если необходимо удалить AuthN, то каков триггер, чтобы знать, что пользователь вошел в систему, и я могу сгенерировать либо подписанные URL-адреса / файлы cookie для Cloudfront.

В некоторых публикациях упоминается, что это делается с помощью Lambda @ Edge, но я хочу избежать слишком большого количества движущихся частей ...

Любое направление / помощь приветствуется ...

Answer 1

Способ создания вашего веб-приложения очень сильно влияет на то, где вы можете разместить:

• Одностраничные приложения, представляющие собой просто статический контент, прекрасно подойдут к CloudFront, поскольку сама страница пользовательского интерфейса не раскрывает ничего чувствительного
• Веб-приложениям, которые выдают файлы cookie, обычно требуется серверная сторона на языке, таком как .Net или Java, а загрузка страницы также включает данные

У меня довольно большой опыт работы с первым делом, если вы этим занимаетесь. Пожалуйста, опубликуйте немного больше о вашем сценарии, и я смогу указать вам на некоторые ресурсы, которые могут помочь.

С уважением,

Gary