安全

用户认证的实现 - 使用 Cognito 构建安全的认证基础设施

解析利用 Amazon Cognito 设计和实现用户认证基础设施的方法,介绍用户池、ID 池以及外部身份提供商集成的认证流程构建方式。

約 2 分で読めます

现代应用程序中用户认证的挑战

用户认证是所有应用程序的基础,但自行实现安全的认证系统是复杂且高风险的工作。密码哈希、会话管理、MFA 支持、暴力破解防护、令牌的签发与验证等,需要考虑的要素涉及多个方面。Amazon Cognito 是以全托管方式提供这些认证功能的服务,开发者从认证逻辑的实现中解放出来,可以专注于应用程序的业务逻辑。Cognito 每月 50,000 活跃用户以内免费使用,适用于从初创企业到大型企业的各种规模。Cognito 可通过 Lambda 触发器自定义认证流程,能够使用 JavaScript 或 Python 等熟悉的语言编写逻辑,这对开发者来说是一大优势。

Cognito 用户池的认证管理

Cognito 用户池是管理用户注册、登录、密码重置和 MFA 的用户目录。用户池符合 OAuth 2.0 和 OpenID Connect 标准,提供标准化的认证流程。通过自定义密码策略(最小字符数、大小写字母、数字、符号要求),可以根据组织的安全要求进行设置。MFA 支持 TOTP(Google Authenticator 等)和 SMS 两种方式,自适应认证可以设置仅在高风险登录尝试时要求 MFA。使用 Lambda 触发器可以在认证流程的各个阶段插入自定义逻辑,构建符合业务需求的灵活认证流程。以下是使用 AWS CLI 创建用户池的示例。 ```bash aws cognito-idp create-user-pool \ --pool-name MyAppUserPool \ --policies '{"PasswordPolicy": {"MinimumLength": 12, "RequireUppercase": true, "RequireLowercase": true, "RequireNumbers": true, "RequireSymbols": true}}' \ --mfa-configuration OPTIONAL \ --auto-verified-attributes email \ --region ap-northeast-1 ``` 使用托管 UI 可以在数分钟内构建登录界面。

ID 池与联合认证

Cognito ID 池(联合身份)向已认证用户签发临时 AWS 凭证,使其能够直接访问 S3、DynamoDB 等 AWS 资源。不仅接受通过用户池认证的用户,还接受来自 Google、Facebook、Apple、Amazon 等社交身份提供商,以及符合 SAML 2.0、OpenID Connect 的企业身份提供商的认证信息。可以分离已认证角色和未认证角色,为访客用户授予只读的有限访问权限,为已认证用户授予包含写入权限的扩展访问权限。通过基于属性的访问控制(ABAC),可以根据用户属性动态控制访问权限,实现精细的授权逻辑。 关于 Cognito 实现指南的详细解析,也可以在Amazon 的相关书籍中确认。

与 API Gateway 和 Lambda 的集成模式

Cognito 与 API Gateway 的集成作为无服务器应用程序的认证模式被广泛采用。设置 API Gateway 的 Cognito 授权器后,可以自动验证 API 请求中包含的 JWT 令牌,在无效令牌的请求到达 API 之前将其拒绝。在 Lambda 函数内,可以从已验证的令牌中获取用户 ID 和自定义属性,用于用户特定的数据访问和业务逻辑分支。使用 Amplify 库,可以用几行代码从前端应用程序实现 Cognito 的认证流程,令牌的自动刷新和会话管理也将自动化。通过这种配置,认证、授权和 API 处理各层明确分离,实现安全性和可维护性的兼顾。

Cognito 的定价

Cognito User Pool 按月活跃用户(MAU)数计费。前 50,000 MAU 免费,50,001 至 100,000 MAU 每 MAU 约 0.0055 美元。SAML/OIDC 联合用户每 MAU 约 0.015 美元。高级安全功能(自适应认证、泄露凭证检测)每 MAU 额外约 0.050 美元。50,000 MAU 的免费额度对许多初创企业来说已经足够,与自行实现认证基础设施的成本相比大幅降低。

总结

Amazon Cognito 是将用户认证的复杂性抽象为全托管服务、能够快速构建安全认证基础设施的服务。统一提供用户池的认证管理、ID 池的 AWS 资源访问控制以及与外部身份提供商的联合认证。每月 50,000 活跃用户的免费额度和通过 Lambda 触发器的灵活自定义,适用于各种规模的应用程序。通过与 API Gateway 的集成,可以轻松实现无服务器架构中认证和授权的最佳实践,开发者可以专注于业务逻辑。

相关服务

Amazon Cognito为 Web 和移动应用程序提供认证、授权和用户管理的服务AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务

相关文章

身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。加速全栈开发 - 通过 Amplify 构建云原生应用程序介绍利用 AWS Amplify 进行全栈开发的方法,包括前端托管、后端构建以及通过认证和存储集成实现快速应用程序开发。GraphQL 实时 API - 通过 AWS AppSync 构建数据驱动应用程序介绍利用 AWS AppSync 构建 GraphQL API 的方法。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

Amazon Cognito为 Web 和移动应用添加用户认证与授权功能的全托管服务,支持社交登录和 SAML 集成使用 Amazon Cognito 实现用户认证 - User Pool 与 Identity Pool 的设计详解 Cognito User Pool 的用户认证、Identity Pool 的 AWS 资源访问以及社交登录的集成。身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。加速全栈开发 - 通过 Amplify 构建云原生应用程序介绍利用 AWS Amplify 进行全栈开发的方法,包括前端托管、后端构建以及通过认证和存储集成实现快速应用程序开发。