結合Authing怎樣實現AWS云上的身份認證與授權

這篇文章將為大家詳細講解有關結合Authing怎樣實現AWS云上的身份認證與授權，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

身份認證與 Cognito 服務介紹

在 Web 或 App 開發過程中，用戶的認證和權限處理是非常重要的一個模塊，這里包括用戶注冊、登錄認證及管理對應的權限。除了用戶名密碼登錄外，通過第三方社交帳號登錄也是非常重要的需求，在國外主要是 Google、Facebook 或 Apple 登錄等，而在國內則主要是微信、微博登錄等。

身份認證與授權實現起來相應復雜，因此在 AWS 云上提供了 Cognito 服務，以幫助開發者更快、更安全地接入用戶注冊/登錄和訪問控制功能。Cognito 服務讓企業可以把更多的精力花在核心業務上，去關注創新、創收，而非過多關注身份認證與授權相關的底層技術細節。

Cognito 服務構成：

• Cognito User Pool

即用戶池，為應用程序提供注冊和登錄選項的用戶目錄。利用用戶池，用戶可以通過 Cognito 登錄 Web 或 App。用戶還可以通過社交身份提供商（例如 Google、Facebook、Amazon 或 Apple）以及 SAML 身份提供商登錄。

• Cognito Identity Pool

即身份池，或聯合身份，可以為用戶創建唯一身份，并將它們與身份提供商聯合。有了身份池，用戶便可以獲取權限受限的臨時 AWS 憑證以訪問其他 AWS 服務。身份池可以包括 Cognito User Pool 中的用戶，外部身份提供商（如 Google/Facebook）或基于 OpenID Connect/SAML 的身份提供商進行身份驗證的用戶。

Cognito 應用場景：

目前 Cognito 被廣泛應用在客戶創建的 Web 或 App 中，也應用在許多 AWS Solutions 中。目前主要是兩個使用場景：

• API Gateway 可以集成 Cognito User Pool 進行用戶身份認證與授權，方便對 API 進行保護。

• 結合 Cognito Identity Pool 來在 Web 或移動端安全地獲取 AWS 臨時憑證，進而訪問其他 AWS 服務。

Cognito User Pool 在國內區域的替代方案

目前 AWS 國內區域上線了 Cognito Identity Pool，但 Cognito User Pool 暫未上線。因此我們在這個博客里會探索如何在現階段找到 Cognito User Pool 的替代方案。我們的基本思路是找到一個基于 OpenID Connect 協議的認證服務，可以是第三方 SaaS（如 Authing，Auth0 等），或是自建（如基于開源的 Keycloark 軟件等）。由于 Authing 是 AWS 在國內的合作伙伴，我們在這里會并以一個常見的網站為例，探討如何使用 Authing 來做為 Cognito User Pool 的替代方案，描述相關的技術原理，并介紹如何進行部署。

1. 架構設計

演示網站整體架構如下：

• 通過 S3 進行靜態網站托管, 并利用 Cloudfront 進行靜態內容加速和 HTTPS 證書掛載。

• 通過 Authing 進行登錄認證并獲取令牌，作為 User Pool 的替代方案。

• 訪問 API Gateway 提供的 REST API。

• 通過 Cognito Identity Pool 獲取臨時 AWS 憑證，訪問 AWS 資源（這里以 Polly 服務為例）。

演示網站目前已部署在 AWS 國內區域, 鏈接如下：

https://authing.demo.cbuilder.tech/

進行簡單的用戶注冊后可以查看訪問效果。

通過 Authing 進行登錄認證并獲取令牌

Authing 基于 OIDC 和 OAuth 2.0 對用戶進行身份驗證，并授予用用戶訪問對應的應用的權限，使用場景如上圖所示。

1. 在第一步中，用戶通過 Authing 用戶池請求登錄，并在成功進行身份驗證后，從服務器獲取到 code。

2. 接下來，應用程序通過身份池帶著 code 請求 token。

3. 最后，用戶可以使用 token 來請求訪問各種應用資源。

上圖介紹了OIDC Authorization Code Flow來獲取Token, 用戶也可以通過OIDC Implicit Flow 來獲取Token。本示例使用的是Implicit Flow， 關于這兩種流程的對比可以參考這個鏈接 。

訪問 API Gateway 提供的受保護的 REST API

通過 Authing 登錄認證后，可獲取令牌（即 id token）。通過發送 HTTP 請求時在 header 攜帶令牌，即可訪問受保護的 REST API。

通過與 Identity Pool 集成安全訪問 AWS 服務

通過 Authing 登錄認證后，可獲取令牌（即 id token）。通過與 Identity Pool 集成來獲取臨時憑證，進而安全地訪問 AWS 資源

2. 方案部署

演示網站的前端和后端代碼均已發布在 Github:

https://github.com/linjungz/aws-authing-demo

可參照相關代碼進行部署和測試

2.1 Authing 帳號開通與 OIDC 應用配置

首先需要先在 Authing 中創建 OIDC 應用，具體可以參考Authing 相關的幫助文檔。這個演示環境使用的是 Implicit Flow，并使用 RS256 算法進行 id token 簽名，可參考如下進行回調 URL、授權模式、返回類型等設置：

2.2 通過 SAM 部署 API Gateway 與 Lambda

由于 id token 使用 RS256 算法進行加密，因此需要在 Lambda Authorizer 中設置相應密鑰，以便進行 token 驗證。具體可以參考示例代碼app.js中的相關注釋 。

演示環境中 API Gateway 及相關 Lambda 已經描述在一個 AWS SAM 模板（template.yaml）中，通過 SAM 可以直接進行自動部署：

$ sam build
$ sam deploy --guided

2.3 Authing 與 Identity Pool 集成的配置

• 配置 OIDC Provider

• Provider URL : 即為 Authing 應用對應的 issuer, 比如本示例使用的 issuer 為：https://aws-oidc-demo-implicitflow.authing.cn/oauth/oidc。

• Audience: 即為 Authing 應用對應的 App ID。

創建成功后如下所示：

具體配置可參考AWS 相關官方文檔。

• 配置 Cognito Identity Pool

指定 Authing 做為 Authenticated Provider :

同時，Cognito Identity Pool 會分別創建兩個 IAM Role（針對認證用戶和匿名用戶），需要對認證用戶的 IAM Role 進行權限設定，示例網站使用了 Polly 服務，因此需要添加訪問 Polly 的權限。

2.4 部署靜態網站做為前端演示

前端演示頁面 可以上傳到 S3 桶，并開啟 S3 靜態網站托管功能，注意需要在前面增加 Cloudfront 并添加 HTTPS 證書; 或者可以選擇部署在一臺 EC2 上。

從上述示例代碼可以看到，通過將 Authing 與 AWS 相關服務進行集成，可以快速建立一個托管的用戶池，并對 AWS 的相關資源（如 API 網關，S3, IoT, AI 等服務）實現安全的調用，實現類似于 Cognito User Pool 服務的功能。

關于結合Authing怎樣實現AWS云上的身份認證與授權就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。