定义身份验证质询 Lambda 触发器

定义身份验证质询

Amazon Cognito 调用此触发器以启动自定义身份验证流程。

当 Amazon Cognito 调用您的 Lambda 函数时，Amazon Cognito 提供以下参数：

userAttributes

表示用户属性的一个或多个名称/值对。

userNotFound

一个布尔值，当您的用户池客户端将 PreventUserExistenceErrors 设置为 ENABLED 时，Amazon Cognito 将填充该值。值 true 表示用户 ID（用户名、电子邮件地址以及其他详细信息）不匹配任何现有用户。当 PreventUserExistenceErrors 设置为 ENABLED 时，该服务不会向应用程序通知不存在的用户。我们建议您的 Lambda 函数保持相同的用户体验并考虑延迟。这样，不论用户是否存在，调用方都不会检测到不同的行为。

会话

ChallengeResult 元素的数组。每个数组包含以下元素：

challengeName

以下质询类型之一：CUSTOM_CHALLENGE、SRP_A、PASSWORD_VERIFIER、SMS_MFA, DEVICE_SRP_AUTH、DEVICE_PASSWORD_VERIFIER 或 ADMIN_NO_SRP_AUTH。

当您的定义身份验证质询功能向已设置多重身份验证的用户发出 PASSWORD_VERIFIER 质询时，Amazon Cognito 会随后提出 SMS_MFA 质询。在您的函数中，包括对来自 SMS_MFA 质询的输入事件的处理。您无需从定义身份验证质询函数中调用 SMS_MFA 质询。

重要

在函数确定用户是否已成功通过身份验证以及是否应向其颁发令牌时，请始终检查定义身份验证质询函数中的 challengeName 以及它是否与预期值匹配。

challengeResult

如果用户成功完成质询，则设置为 true，否则设置为 false。

challengeMetadata

您的自定义质询的名称。仅当 challengeName 为 CUSTOM_CHALLENGE 时使用。

clientMetadata

一个或多个键值对，您可以将其作为自定义输入内容提供给为定义身份验证质询触发器指定的 Lambda 函数。要将此数据传递给 Lambda 函数，您可以使用 AdminRespondToAuthChallenge 和 RespondToAuthChallenge API 操作中的 ClientMetadata 参数。调用“定义身份验证质询”函数的请求不包括在 AdminInitiateAuth 和 InitiateAuth API 操作的 ClientMetadata 参数中传递的数据。

challengeName

一个字符串，其中包含下一质询的名称。如果您希望向您的用户显示新的质询，请在此处指定质询名称。

issueTokens

如果您确定用户已充分完成了身份验证质询，则设置为 true。如果用户没有充分满足质询条件，则设置为 false。

failAuthentication

如果您想要终止当前的身份验证流程，则设置为 true。要继续当前的身份验证流程，请设置为 false。