关于 Web 联合身份验证
假设您要创建一个访问 Amazon 资源的移动应用程序,如在移动设备上运行并使用 Amazon S3 和 DynamoDB 存储玩家和分数信息的游戏。
当您编写此类应用程序时,将向必须使用 Amazon 访问密钥进行签名的 Amazon 服务提出请求。但是,我们强烈建议您不要对用户下载到设备的应用程序嵌入或分配长期 Amazon 凭证,即使在加密存储中也是如此。相反,应构建您的应用程序,让其在需要使用 AmazonWeb 联合身份验证时动态请求临时 安全凭证。提供的临时凭证映射到的 Amazon 角色只拥有执行移动应用程序所需任务的必要权限。
利用 Web 联合身份验证,您不需要创建自定义登录代码或管理自己的用户身份。相反,应用程序的用户可以使用知名的外部身份提供程序(例如,Login with Amazon、Facebook、Google 或任何其他 OpenID Connect (OIDC)
对于大多数方案,我们建议您使用 Amazon Cognito
如果您未使用 Amazon Cognito,则必须编写与 Web IdP(例如 Facebook)交互的代码,然后调用 AssumeRoleWithWebIdentity
API 以便用您从这些 IdP 处获得的身份验证令牌交换 Amazon 临时安全凭证。如果您现有的应用程序已采用这种方法,则您可以继续使用它。
注意
由 OpenID Connect(OIDC)身份提供程序颁发的 JSON Web 令牌(JWT)在 exp
声明中包含指定令牌何时过期的过期时间。在 OpenID Connect (OIDC) Core 1.0 标准