reactjs – 仅使用AWS Cognito和React登录Facebook / Google(无

Federated identities用于“为用户提供临时AWS凭证……” – 因此,如果您只想通过联合登录提供临时访问,则此假设是正确的.

如果要管理用户组和配置文件以及其他用户服务,则需要用户池.但是,根据您的问题,这不是必需的.

其次,那么它仍然是正确的吗？

您的假设是正确的,但是,我想添加有关使用API?? Gateway进行身份验证的信息,以便您了解其他方法的存在.

Cognito Identity Pool是针对API Gateway进行身份验证的一种方法.有三种方法可以使用API?? Gateway进行身份验证

> Cognito Identity Pool Authenticated Role
> API Gateway Identity Pool Authorizer
> API Gateway Lambda Authorizer

方法1和方法2和3之间的主要区别是身份验证模式. Cognito身份池经过身份验证的角色交换用于API调用的AWS IAM credentials的JWT.在另外两种方法中,JWT用作验证器.在这篇answer中,我更详细地解释了这一区别.

由于Cognito Identity Pool会返回AWS IAM凭据,因此它的用途也更广泛.如果您的应用最终需要访问其他AWS服务(例如S3),那么Cognito Identity Pools将是首选方法.

第三,是否存在这样一个仅限社交登录用例的公共代码示例？

是!我将尝试提供有关如何执行此操作的一些信息.

首先,我强烈建议使用AWS-Amplify库进行登录.该库提供了以下方法：

>使用Cognito用户池进行身份验证
>使用从身份验证收到的AWS IAM凭据向GUI网关发出Sig v4请求

例如,一旦您在身份池中将Google(或Facebook)配置为身份提供商,AWS Amplify就可以轻松地允许您执行登录(AWS Amplify Federated Identities)

但是,这也可以在没有AWS Amplify的情况下使用AWS JavaScript SDK. Example完成：

AWS.config.credentials = new AWS.CognitoIdentityCredentials({
  IdentityPoolId: 'us-east-1:1699ebc0-7900-4099-b910-2df94f52a030',Logins: { // optional tokens,used for authenticated login
    'graph.facebook.com': 'FBTOKEN','www.amazon.com': 'AMAZONTOKEN','accounts.google.com': 'GOOGLETOKEN'
  }
});

识别在两种解决方案中(使用AWS-Amplify和不使用),身份验证是一个两步过程.首先,您的应用必须通过Google或Facebook进行身份验证才能获得JWT.其次,此JWT将交换用于API调用的IAM凭据.

认证流程：

>应用程序使用身份提供程序的SDK(例如FaceBook)对身份提供程序进行身份验证.作为响应,身份提供者发送将由应用程序缓存的JWT.
> App使用缓存的JWT通过AWS进行身份验证.如果在AWS中配置了身份提供程序,作为响应,AWS会发送具有授予该身份提供程序的权限的IAM凭据.
> IAM凭证用于向API网关发出Sig v4请求

关于Facebook,这个documentation详细介绍了这些步骤.

根据我自己的经验,我使用Okta作为我的AWS身份池的身份提供者使用OpenID.与您类似,我没有使用用户池,因为这些服务由Okta管理.

This是理解“无服务器”身份验证的另一个重要资源.