使用 Amazon 验证权限授权访问客户端或服务器资源 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 验证权限授权访问客户端或服务器资源

您的应用程序可以将登录用户的令牌传递给 A ma zon 验证权限。Verified Permissions 是一项可扩展、精细的权限管理和授权服务,适用于您构建的自定义应用程序。Amazon Cognito 用户池可以作为已验证权限策略存储的身份来源。Verified Permissions 会根据用户池令牌中的委托人及其属性对请求的操作和资源(GetPhoto例如premium_badge.png)做出授权决定。

下图显示了您的应用程序如何在授权请求中将用户的令牌传递给已验证的权限。

应用程序的流程图,该应用程序使用 Amazon Cognito 用户池进行身份验证,并使用亚马逊验证权限授权访问本地资源。
开始使用 Amazon 验证权限

将用户池与经过验证的权限集成后,您将获得所有 Amazon Cognito 应用程序的精细授权的集中来源。这消除了对精细安全逻辑的需求,否则您将不得不在所有应用程序之间进行编码和复制。有关使用已验证权限进行授权的更多信息,请参阅使用 Amazon Verified Permissions 进行授权

已验证的权限授权请求需要 Amazon 凭证。您可以实施以下一些技术来安全地将凭据应用于授权请求。

  • 操作可以在服务器后端存储机密的 Web 应用程序。

  • 获取经过身份验证的身份池凭证。

  • 代理用户通过请求 access-token-authorizedAPI并在请求中附加 Amazon 凭据。