我目前必须使用 AWS 设置的用例有几个限制:
- 我必须使用 Cognito 用户池作为我的 API 资源的授权方(到目前为止没问题)
- 我还必须使 API 只能通过 CloudFront 分配访问(例如 S3 存储桶的 OAI)
为了设置这个用例,我将使用附加到 CloudFront 的 Lambda@Edge 来生成请求签名 (SignV4),另一方面,我将使用自定义授权器来验证请求的签名除了使用 Cognito 验证身份验证之外,还使用 Lambda@Edge 生成。
只有我不知道该怎么做,尤其是如何在自定义授权方(AWS SDK)中使用 Cognito。你觉得这个解决方案怎么样?
我发现的唯一其他解决方案是这个,但对我来说,它不应该是 API 密钥的使用,而且在我看来,签名请求解决方案似乎是一个更好的选择。
你知道更好的吗?
任何帮助将不胜感激,谢谢