Node.js 如何使用aws amplify验证node/express中的accessToken?
我在我的前端React应用程序上使用AWS amplify进行用户身份验证。 我的React应用程序直接与amplify通信,无需任何后端(节点服务器)交互 我有一个用node/express编写的restapi。我想用amplify保护那个API 目前,我计划将访问令牌从我的react应用程序传递到我的节点服务器。但我无法找到一种方法,通过它,我可以在后端使用amplify验证这个令牌 aws amplify软件包是否提供了任何功能,我可以在其中传递访问令牌来验证它Node.js 如何使用aws amplify验证node/express中的accessToken?,node.js,reactjs,amazon-web-services,amazon-cognito,aws-amplify,Node.js,Reactjs,Amazon Web Services,Amazon Cognito,Aws Amplify,我在我的前端React应用程序上使用AWS amplify进行用户身份验证。 我的React应用程序直接与amplify通信,无需任何后端(节点服务器)交互 我有一个用node/express编写的restapi。我想用amplify保护那个API 目前,我计划将访问令牌从我的react应用程序传递到我的节点服务器。但我无法找到一种方法,通过它,我可以在后端使用amplify验证这个令牌 aws amplify软件包是否提供了任何功能,我可以在其中传递访问令牌来验证它 类似于Auth.verif
类似于
Auth.verifyToken()import axios from 'axios'
import awsconfig from '../../aws-exports';
const COGNITO_URL = `https://cognito-idp.${awsconfig.aws_project_region}.amazonaws.com/`;
const authentication = async (req, res, next) => {
try {
const accessToken = req.headers.authorization.split(" ")[1];
const { data } = await axios.post(
COGNITO_URL,
{
AccessToken: accessToken
},
{
headers: {
"Content-Type": "application/x-amz-json-1.1",
"X-Amz-Target": "AWSCognitoIdentityProviderService.GetUser"
}
}
)
req.user = data;
next();
} catch (error) {
return res.status(401).json({
message: 'Auth failed'
});
}
};
export default authentication;
const { accessToken: { jwtToken } } = await Auth.currentSession();
这个
jwtTokenAuthorizationconst jwt = getJwtFromHeader(request);
const jwk = getJwkFromAWS();
// convert a jwk to a PEM for use by OpenSSL or crypto
const pem = jwkToPem(jwk);
// verify the signature of the token using the public key from AWS
await jwt.verify(authToken, pem, {algorithms: ['RS256']}, (err, decoded) =>{
console.log('decoded', decoded);
// TODO -- verify claims from decoded token
});
重要提示:对于阅读本文的任何人,请记住验证“iss”声明和“exp”声明!如果您不检查“iss”声明,任何拥有AWS帐户的人都可以创建一个用户池并发布JWTs,该JWTs将通过您的应用程序进行身份验证。听起来很明显,但万一你忘了!