Я использую триггер предварительной аутентификации, чтобы ограничить доступ некоторых пользователей к определенным клиентам; Примером, приведенным на https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-authentication.html.
, является пользователь, имеющий доступ к приложению A, но не имеющий доступа к приложению B. Я обнаружил следующее:
- Пользователь пытается войти в приложение B. Предварительная аутентификация лямбда запускается, и он останавливает вход пользователя.
- Они go к приложению А. Предварительная аутентификация лямбда запускается и позволяет им продолжить и получить токен.
- Они возвращаются обратно в приложение B. Вместо экрана входа в систему они теперь видят «Войти как». Они нажимают эту кнопку и успешно входят в систему, минуя лямбду предварительной аутентификации и получая доступ к приложению, которого у них не должно быть.
Существует ли какой-либо способ вызывать лямбду при каждом входе в систему? Это кажется довольно большой проблемой безопасности, так как она обходится без защиты, и тот факт, что это пример использования в документах, делает его еще хуже.
Я знаю, что могу использовать лямбду до генерации токенов, но хочу, чтобы Cognito остановился пользователь, попавший в приложение, не хочет добавлять логи c в каждое мое приложение для обработки ответов об ошибках генерации токенов.
Спасибо