Настраиваемый лямбда-авторизатор: разрешить пользователям cognito pool и подписчикам IAM v4

Question

У меня есть пользователи, проходящие аутентификацию с использованием пула пользователей cognito.Приложение использует аутентификацию в стиле OAUTH2 для получения токена идентификатора, который затем передается авторизатору Cognito шлюза API.

Я также хотел бы, чтобы пользователи просто передавали свой ключ доступа / секретный ключ, без реальной регистрациив познание.

Как бы получить авторизатор, который может обрабатывать оба сценария?

Answer 1

Если у вас нет доступа к секретному ключу пользователя в виде простого текста (что в идеале не должно), вы не сможете. В основном API-GW или, в этом отношении, другие сервисы AWS воссоздают AWS V4 Sig для аутентификации запроса.

В Authorizer Lambda у вас может быть доступ к таким вещам, как путь, строка запроса, заголовки и т. Д., Но у вас не будет доступа к секретному ключу, и, следовательно, вы не сможете действительно аутентифицировать пользователя. Поэтому я не верю, что эта смешанная модель была бы возможна.