Лучший подход для входа с AWS Cognito

Question

Каков наилучший подход к созданию входа с использованием AWS Cognito. Приложение использует оболочку React / Angular и подключено к узлу Express Node. Мне интересно, как создать аутентификацию с использованием cognito / какой самый безопасный способ.

1. Создайте конечную точку входа в систему на моем REST API, отправьте учетные данные на мой сервер и оттуда подключитесь к cognito и в ответ отправьте токены

Или

Сделать прямое соединение от внешнего интерфейса до Cognito и получить оттуда токены?

Answer 1

Я думаю, что безопаснее всего подключить ваш интерфейс к apigw (с лямбдой), разрешить лямбду подключаться к cognito и выполнить авторизацию, чтобы минимизировать код, написанный на интерфейсе. Вы можете просто дать URL-адрес Apigw URI в Cognito. В интернете не так много документации или примеров, но это не сложно сделать. Поэтому оба решения верны, но с точки зрения безопасности я бы предпочел первое.

Answer 2

В общем случае, если нет конкретных требований c, лучше go с вариантом 2.

Вам следует настроить Cognito вместе с клиентским приложением.

• Ваше клиентское приложение (FE) выполняет аутентификацию через Cognito и получает токен доступа. Используется при общении с back-end. С точки зрения OAuth2 ваше приложение FE называется клиентское приложение .
• Ваше внутреннее (BE) приложение получает запрос от вашего FE вместе с токеном доступа от внешнего приложения. Маркер доступа должен быть проверен на соответствие Cognito и обрабатываться соответствующим образом. С точки зрения OAuth2 ваше BE-приложение называется сервер ресурсов .

Для получения более подробной информации обратитесь к документации: https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-scenarios.html#scenario -backend