阿里雲aws 認證(實現AWS雲上的身份認證與授權)
2023-09-22 14:02:13 3
身份認證與 Cognito 服務介紹在 Web 或 App 開發過程中,用戶的認證和權限處理是非常重要的一個模塊,這裡包括用戶註冊、登錄認證及管理對應的權限。除了用戶名密碼登錄外,通過第三方社交帳號登錄也是非常重要的需求,在國外主要是 Google、Facebook 或 Apple 登錄等,而在國內則主要是微信、微博登錄等。
身份認證與授權實現起來相應複雜,因此在 AWS 雲上提供了 Cognito 服務,以幫助開發者更快、更安全地接入用戶註冊/登錄和訪問控制功能。Cognito 服務讓企業可以把更多的精力花在核心業務上,去關注創新、創收,而非過多關注身份認證與授權相關的底層技術細節。
Cognito 服務構成:
Cognito User Pool即用戶池,為應用程式提供註冊和登錄選項的用戶目錄。利用用戶池,用戶可以通過 Cognito 登錄 Web 或 App。用戶還可以通過社交身份提供商(例如 Google、Facebook、Amazon 或 Apple)以及 SAML 身份提供商登錄。
Cognito Identity Pool即身份池,或聯合身份,可以為用戶創建唯一身份,並將它們與身份提供商聯合。有了身份池,用戶便可以獲取權限受限的臨時 AWS 憑證以訪問其他 AWS 服務。身份池可以包括 Cognito User Pool 中的用戶,外部身份提供商(如 Google/Facebook)或基於 OpenID Connect/SAML 的身份提供商進行身份驗證的用戶。
Cognito 應用場景:
目前 Cognito 被廣泛應用在客戶創建的 Web 或 App 中,也應用在許多 AWS Solutions 中。目前主要是兩個使用場景:
API Gateway 可以集成 Cognito User Pool 進行用戶身份認證與授權,方便對 API 進行保護。結合 Cognito Identity Pool 來在 Web 或移動端安全地獲取 AWS 臨時憑證,進而訪問其他 AWS 服務。Cognito User Pool 在國內區域的替代方案目前 AWS 國內區域上線了 Cognito Identity Pool,但 Cognito User Pool 暫未上線。因此我們在這個博客裡會探索如何在現階段找到 Cognito User Pool 的替代方案。我們的基本思路是找到一個基於 OpenID Connect 協議的認證服務,可以是第三方 SaaS(如 Authing,Auth0 等),或是自建(如基於開源的 Keycloark 軟體等)。由於 Authing 是 AWS 在國內的合作夥伴,我們在這裡會並以一個常見的網站為例,探討如何使用 Authing 來做為 Cognito User Pool 的替代方案,描述相關的技術原理,並介紹如何進行部署。
1. 架構設計演示網站整體架構如下:
通過 S3 進行靜態網站託管, 並利用 Cloudfront 進行靜態內容加速和 HTTPS 證書掛載。通過 Authing 進行登錄認證並獲取令牌,作為 User Pool 的替代方案。訪問 API Gateway 提供的 REST API。通過 Cognito Identity Pool 獲取臨時 AWS 憑證,訪問 AWS 資源(這裡以 Polly 服務為例)。
演示網站目前已部署在 AWS 國內區域, 連結如下:
https://authing.demo.cbuilder.tech/
進行簡單的用戶註冊後可以查看訪問效果。
通過 Authing 進行登錄認證並獲取令牌
Authing 基於 OIDC 和 OAuth 2.0 對用戶進行身份驗證,並授予用用戶訪問對應的應用的權限,使用場景如上圖所示。
在第一步中,用戶通過 Authing 用戶池請求登錄,並在成功進行身份驗證後,從伺服器獲取到 code。接下來,應用程式通過身份池帶著 code 請求 token。最後,用戶可以使用 token 來請求訪問各種應用資源。上圖介紹了OIDC Authorization Code Flow來獲取Token, 用戶也可以通過OIDC Implicit Flow 來獲取Token。本示例使用的是Implicit Flow, 關於這兩種流程的對比可以參考這個連結 。
訪問 API Gateway 提供的受保護的 REST API通過 Authing 登錄認證後,可獲取令牌(即 id token)。通過發送 HTTP 請求時在 header 攜帶令牌,即可訪問受保護的 REST API。
通過 Authing 登錄認證後,可獲取令牌(即 id token)。通過與 Identity Pool 集成來獲取臨時憑證,進而安全地訪問 AWS 資源
演示網站的前端和後端代碼均已發布在 Github:
https://github.com/linjungz/aws-authing-demo
可參照相關代碼進行部署和測試
2.1 Authing 帳號開通與 OIDC 應用配置首先需要先在 Authing 中創建 OIDC 應用,具體可以參考Authing 相關的幫助文檔。這個演示環境使用的是 Implicit Flow,並使用 RS256 算法進行 id token 籤名,可參考如下進行回調 URL、授權模式、返回類型等設置:
由於 id token 使用 RS256 算法進行加密,因此需要在 Lambda Authorizer 中設置相應密鑰,以便進行 token 驗證。具體可以參考示例代碼app.js中的相關注釋 。
演示環境中 API Gateway 及相關 Lambda 已經描述在一個 AWS SAM 模板(template.yaml)中,通過 SAM 可以直接進行自動部署:
$ sam build$ sam deploy --guided
2.3 Authing 與 Identity Pool 集成的配置配置 OIDC ProviderProvider URL : 即為 Authing 應用對應的 issuer, 比如本示例使用的 issuer 為:https://aws-oidc-demo-implicitflow.authing.cn/oauth/oidc。Audience: 即為 Authing 應用對應的 App ID。創建成功後如下所示:
具體配置可參考AWS 相關官方文檔。
配置 Cognito Identity Pool指定 Authing 做為 Authenticated Provider :
同時,Cognito Identity Pool 會分別創建兩個 IAM Role(針對認證用戶和匿名用戶),需要對認證用戶的 IAM Role 進行權限設定,示例網站使用了 Polly 服務,因此需要添加訪問 Polly 的權限。
2.4 部署靜態網站做為前端演示前端演示頁面 可以上傳到 S3 桶,並開啟 S3 靜態網站託管功能,注意需要在前面增加 Cloudfront 並添加 HTTPS 證書; 或者可以選擇部署在一臺 EC2 上。
從上述示例代碼可以看到,通過將 Authing 與 AWS 相關服務進行集成,可以快速建立一個託管的用戶池,並對 AWS 的相關資源(如 API 網關,S3, IoT, AI 等服務)實現安全的調用,實現類似於 Cognito User Pool 服務的功能。
,
![2022愛方向和生日是在[質量個性]中](http://img.xinsiji.cc/20220215/1604989894118215680.jpg)
