Итак, у меня есть служба единого входа OAuth2, и я хочу, чтобы пользователи моего API могли входить в нее (и только для этой службы, без дополнительных паролей и т. Д. c). После того, как они войдут в систему, я хочу, чтобы они могли отправлять запросы моему API (который будет размещен на Lambda / EC2 и представляет собой API GraphQL) с использованием аутентифицированного токена. Оптимально управление ролями et c, обрабатывается пулами пользователей. Я предполагаю, что возвращаемого токена Cognito ID достаточно. Теперь другой вариант использования - это возможность людям напрямую подключаться к API без входа пользователя и делать запросы к определенным ресурсам. Поскольку веб-интерфейс представляет собой одностраничное приложение, я считаю, что лучше всего для него подключиться к прокси-серверу, с которым он поддерживает сеанс, и этот сервер делает запросы от имени клиента.
Теперь мои вопросы следующим образом:
- Можно ли использовать пользовательские серверы OAuth2 в качестве поставщиков удостоверений для пулов пользователей?
- Можно ли проходить аутентификацию через Cognito для запросов API сервера от сервера без указания c user
- Лучше ли использовать прокси-сервер для отправки запросов или напрямую go через AppSyn c и управлять там авторизацией?
- Лучше просто не беспокоиться обо всех этих службах и сделать это самому и забить все службы на EC2?
Заранее спасибо.