AWS API Gateway + Cognito User Pool Authorizer + Lambda - Какие HTTP-заголовки и разрешения необходимо установить?

Question

У меня проблемы с авторизацией моего API на AWS для пула пользователей Cognito через HTTP-заголовки (без AWS API Gateway SDK).

Моя установка:

На AWS:

• Отдыхают API реализован на AWS Lambda (развернутых через Serverless рамках),
• экспонируется через API шлюза с помощью типа LAMBDA_PROXY (без ручного отображения)
• Авторизация на шлюзе API через предоставленный «авторизованный пул пользователей Cognito» (нет опции «AWS_IAM», без специального кодированного авторизатора)
• Тестирование API через Postman

На клиенте Ios

• Регистрация Вход с помощью AWS Cognito (SDK и UI скопированной из AWS Mobile Hub генерируемой демонстрационный Xcode проект)/
• Доступ к жесткому диску в остальном по API с помощью RestKit, не с использованием AWSAPIGateway SDK

Что работает:

Методы API должным образом развернуты без сервера.

Я могу вызвать публикацию (не настроенную на использование пула пользователей) через Postman.

Для частных методов API, я могу видеть Cognito пользователь пул Authorizer настроить в API консоли управления шлюзом, в том числе «Удостоверение маркеров источника» установлен в method.request.header.Authorization (по умолчанию), как описано here

КСН, Я могу правильно зарегистрироваться и войти в систему как пользователь. Я могу сбросить данные Credentials AWS на консоль, показывая AccessKey, SecretKey и SessionKey.

В iOS я могу запросить открытый API через RestKit.

Когда я пытаюсь вызвать частный метод API через Postman, я возвращаю ошибку HTTP 401 с телом {"message": "Unauthorized"}. (. Что ожидается, без установки каких-либо разрешений)

Что не удается:

Чтобы проверить авторизацию в Почтальон, я попытался

• копировать/вставить в AWSCredentials' SessionKey я получил от клиента IOS, как HTTP-заголовка Authorization - как определено here (last paragraph - "API Gateway’s Authorizer for Cognito User Pools")
• и как X-Amz-Security-Token заголовок

В результате всегда была ошибка 401.

Что мне нужно установить в качестве заголовков HTTP, чтобы разрешить вызовы в частный API? "Authorization" должен работать - возможно, мне не хватает прав на роль?

Как лучше отладить поток разрешений/авторизации?

Answer 1

Это как получить сеанс:

AWSCognitoIdentityUserPool *pool = [AWSCognitoIdentityUserPool CognitoIdentityUserPoolForKey:AWSCognitoUserPoolsSignInProvi‌​derKey]; 
AWSCognitoIdentityUser *user = [pool currentUser]; 
AWSTask<AWSCognitoIdentityUserSession *> *task = [user getSession]; 

Затем task.result.idToken.tokenString можно установить в качестве заголовка «авторизации», и она работает.

Спасибо Петру за отзыв!

Answer 2

Для прошивкой (по состоянию на 11 мая 2017)

let headerParameters = [ 
       "Content-Type": "application/json", 
       "Accept": "application/json", 
       "AccessKey" : awsCredentials.accessKey, 
       "SecretKey" : awsCredentials.secretKey, 
       "SessionKey" : awsCredentials.sessionKey, 
       "Authorization" : 
       AWSCognitoUserPoolsSignInProvider.sharedInstance().getUserPool().currentUser()?.getSession().result?.idToken?.tokenString 
      ] 

где awsCredentials вы можете получить при успешном входе в систему и хранить его где-нибудь в вашем собственном коде (AuthorizationService?). Я сохранил значение «Авторизация» так долго, чтобы разработчикам было легче узнать полное местоположение этого скрытого объекта. Вы должны хранить его в своем собственном классе AuthorizationService (или в качестве члена расширения для AwsCredentials?)

Answer 3

Если вы используете Swift 3, вы можете получить токен идентичности по приведенному ниже коду.

 let pool = AWSCognitoUserPoolsSignInProvider.sharedInstance().getUserPool() 
     let currentUser = pool.currentUser() 
     let task = currentUser?.getSession() 
     let identityToken = task?.result?.idToken?.tokenString 
     print("identityToken: \(String(describing: identityToken))")