AWS Api Gateway Authorizer + Cognito 用户池不工作 "message": "Unauthorized"

Posted 2023-03-08

【中文标题】AWS Api Gateway Authorizer + Cognito 用户池不工作 "message": "Unauthorized"

【英文标题】：AWS Api Gateway Authorizer + Cognito User Pool Not Working "message": "Unauthorized"AWS Api Gateway Authorizer + Cognito 用户池不工作 "message": "Unauthorized"

【发布时间】：2018-03-02 20:52:13

【问题描述】：

我正在尝试将 aws api 网关授权器与 cognito 用户池一起使用。当我使用 aws api 网关控制台进行测试时，它工作正常。

但是当我尝试在 api 中启用授权时，它显示"message": "Unauthorized". 请查看下面的屏幕截图

API 网关控制台屏幕截图 - 这很好用

邮递员屏幕截图 - 不工作

有人可以帮忙吗。

仅供参考，我已按照此处提到的说明进行操作 http://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html

【问题讨论】：

只是username 而不是cognito:username？我没有使用那个确切的方法，但我不确定那部分是否正确。

cognito:username 是我获得成功授权的响应。即使我也遇到了相同类型的自定义授权问题。肯定在做一些愚蠢的事情，但无法弄清楚。如果有人可以提供帮助，那就太好了..

对不起，我把它误认为是您的代码。邮递员说响应中有 12 个标头。可以发一下吗？

另外，您应该尝试使用 AWS 开发工具包和 Cognito 开发工具包中的代码发送请求，因为 Postman 请求中可能缺少一些请求标头。最后，查看请求中的标头（来自浏览器中的检查/网络）并确保您的 AWS 策略与这些标头完全匹配，否则您将遇到 CORS 问题。请参阅：docs.aws.amazon.com/sdk-for-javascript/v2/developer-guide/… - 特别是第 4 步

抱歉耽搁了，由于项目的紧迫性，到目前为止我已经创建了一个 lambda 函数并将其指向自定义授权方。我已经按照下面的链接在 lambda 中解码了 jwt（来自 cognito 的访问令牌）。这目前工作得很好。 aws.amazon.com/blogs/mobile/…会查看你的回复并告知结果

【参考方案1】：

在我的例子中，授权码应该是id_token。我错误地使用了access_token 来代替

【讨论】：

对我来说同样的问题，同样的解决方案。谢谢！

谢谢，我也花了 2 天时间。

很高兴我一收到问题就发现了这个。奇怪的是 access_token 不是那个。

老实说，这完全令人困惑。那么 access_token 到底有什么意义呢？ oauth 范围甚至不是 id_token 的一部分，所以除非它再次获取 access_token，否则我不会得到它

这里的链接解释了 access 和 id 令牌的不同之处：docs.aws.amazon.com/cognito/latest/developerguide/… 我注意到的主要区别是 access_tokens 允许我们获取用户的用户组。

【参考方案2】：

以下步骤为我解决了这个问题。简而言之，AWS API Gateway 中似乎存在错误。您可以通过重新部署 API 来修复它：

将请求验证器从 NONE 更改为 Validate Body Actions -> 部署 API -> 选择您要将其部署到的阶段。 将请求验证器从 Validate Body 更改为 NONE 重做第 2 步。

【讨论】：

就我而言，只有第 2 步成功了

【参考方案3】：

我尝试了 Mathias 的解决方案，但起初并没有奏效。奇怪的是，我可以在几个小时后回到它并再次尝试，这次在部署 API 之前对我的 API 网关进行了一些其他更改。这一次它奏效了，尽管我所做的其他更改都是肤浅的。

此外，通常情况下，AWS 文档是错误的，指出您应该使用 method.response.header.Authorization。这实际上只对使用自定义身份验证的 Lambda 有效。当您使用新的 Cognito 用户池授权器时，您确实应该只使用 Authorization。

使用Authorization 而不是method.response.header.Authorization 对 API Gateway 中的资源进行表面更改 部署您的 API 并稍等片刻

-- 编辑--

我刚刚将我的堆栈转换为 Cloudformation，发现如果您使用 Cloudformation 来部署授权者，您实际上需要为令牌源指定完整的 method.response.header.Authorization。事实上，如果您不使用该格式，堆栈部署将会失败。但是，一旦部署，如果您在控制台中查看 Authorizer，它将删除 method.response.header 部分。

【讨论】：

method.response.header.Authorization 是我案例的一个关键方面。感谢您分享详细信息！

【参考方案4】：

我遇到了和你一样的问题，发现我输入了错误的令牌源。

在<your API> -> Authorizers -> Token Source 中输入 API 网关必须在其中查找令牌的 HTTP 标头的名称。 （在你的情况下Authorization）

保存它，不要忘记在测试之前进行部署。

【讨论】：

仅供参考，我已将授权作为令牌源并部署了 API，但仍然面临同样的问题。

你是如何进行像素化的？这是一个非常酷的效果，我想知道如何在我的演示文稿中使用它

如果我没记错的话，我把它复制到了 microsoft paint，选择了区域，使区域变得非常小，然后又恢复到原来的大小。

【参考方案5】：

我也遇到了同样的问题，解决办法就是重新部署项目。

【讨论】：

是的，这令人难以置信地解决了这个问题。我错误地部署了一个错误的授权者，当我更改它时，它仍然存在错误，我删除了整个堆栈并重新部署并且它起作用了。

你是最棒的。在尝试了一切之后，这简单地解决了问题。

【参考方案6】：

尝试以下 3 个步骤（不要忘记部署 API）并尝试使用 POST 人发送请求

缓存

方法请求的设置

部署 API

【参考方案7】：

如果您没有在 API 网关的方法执行块中检查 OAuth Scopes 的范围，则只会使用 id-token。

一旦您对请求设置了 OAuth 范围限制，它将开始自动获取访问令牌。

【参考方案8】：

将 Authorizer 中的 Token Source 更改为 Authorization 以外的其他内容（例如：授权），然后部署 API 并在 Postman 的标头中提供它对我有用。不管我们叫什么头，我猜它都会被API网关翻译和使用。

【参考方案9】：

归功于 YouTube 上的 Srce Cde 频道https://www.youtube.com/watch?v=f8rbpHf9SiA，在端点设置上添加“openid”作为 OAuth 范围，使得 access_token 可用。

请记住，这会使 id_token 无法使用。对于那些寻找 id_token 和 access_token 之间区别的人，这里是链接：https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html

【参考方案10】：

在我的例子中，在查看了来自 Amplify 的示例文档之后，我认为我需要在授权标头中使用“Bearer”添加 ID 令牌。删除“Bearer”解决了我的问题（实际上是检查令牌形状。）另外，检查您的 CORS 配置！