使用Cognito、API网关和Lambda（Python）的无密码身份验证流

2条回答

网友

1楼 · 编辑于 2024-05-21 01:09:43

您的客户机代码看起来正常，我的代码中有ClientId参数，但是如果您的代码没有引发异常，那么应该可以。除非在创建应用程序客户端时选中了Generate client secret选项。如果是这种情况，那么您必须在AuthParameters中传入SECRET_HASH，如下所示：

import hmac
import hashlib
import base64

def get_secret_hash(email, client_id, client_secret):                                                                   
     """                                                                                                                 
     A keyed-hash message authentication code (HMAC) calculated using                                                    
     the secret key of a user pool client and username plus the client                                                   
     ID in the message.                                                                                                  
     """                                                                                                                 
     message = email + client_id                                                                                         
     client_secret = str.encode(client_secret)                                                                           
     dig = hmac.new(client_secret, msg=message.encode('UTF-8'), digestmod=hashlib.sha256).digest()                       
     return base64.b64encode(dig).decode()
                                                                                                                 
client.admin_initiate_auth(                                                                                  
    UserPoolId=COGNITO_USER_POOL_ID,                                                                                    
    ClientId=CLIENT_ID,                                                                                                 
    AuthFlow='CUSTOM_AUTH',                                                                                             
    AuthParameters={                                                                                                    
        'USERNAME': email,                                                                                              
        'SECRET_HASH': get_secret_hash(email, CLIENT_ID, CLIENT_SECRET) # Omit if secret key option is disabled.                                                          
    },
)

接下来，再次检查以下各项：

在App clients > * > Auth Flows Configuration下，是否为您的客户端启用了ALLOW_CUSTOM_AUTH选项

在App integration > App client settings > * > Enabled Identity Providers下，是否选择了您的用户池

如果您的Cognito设置正确，并且代码仍然无法工作，那么可能是lambda代码。您可能知道这一点，但对于无密码的自定义身份验证，您需要使用3个lambda触发器：Define Auth Challenge、Create Auth Challenge和Verify Auth Challenge

自定义验证lambdas事件按以下顺序触发：

DefineAuthChallenge\u身份验证：
- 从技术上讲，这里可以将issueTokens设置为True，以返回令牌，而无需执行其余步骤

def lambda_handler(event, context):
    if event['triggerSource'] == 'DefineAuthChallenge_Authentication':
        event['response']['challengeName'] = 'CUSTOM_CHALLENGE'
        event['response']['issueTokens'] = False
        event['response']['failAuthentication'] = False

        if event['request']['session']:  # Needed for step 4.
            # If all of the challenges are answered, issue tokens.
            event['response']['issueTokens'] = all(
                answered_challenge['challengeResult'] for answered_challenge in event['request']['session'])
    return event

CreateAuthU验证：

def lambda_handler(event, context):
    if event['triggerSource'] == 'CreateAuthChallenge_Authentication':
        if event['request']['challengeName'] == 'CUSTOM_CHALLENGE':
            event['response']['privateChallengeParameters'] = {}
            event['response']['privateChallengeParameters']['answer'] = 'YOUR CHALLENGE ANSWER HERE'
            event['response']['challengeMetadata'] = 'AUTHENTICATE_AS_CHALLENGE'
    return event

然后，您的客户必须响应挑战：

client.respond_to_auth_challenge(                                                                            
    ClientId=CLIENT_ID,                                                                                                 
    ChallengeName='CUSTOM_CHALLENGE',                                                                                   
    Session=session,                                                                                                    
    ChallengeResponses={                                                                                                
        'USERNAME': email,                                                                                              
        'ANSWER': 'Extra Protection!',                                                                                  
        'SECRET_HASH': get_secret_hash(email, CLIENT_ID, CLIENT_SECRET)  # Omit if secret key option is disabled.                                                 
    }                                                                                                                   
)

VerifyAuthChallengerResponse_身份验证：

def lambda_handler(event, context):
    if event['triggerSource'] == 'VerifyAuthChallengeResponse_Authentication':
        if event['request']['challengeAnswer'] == event['request']['privateChallengeParameters']['answer']:
            event['response']['answerCorrect'] = True
    return event

DefineAuthChallenge\u身份验证：
- 将event['response']['issueTokens']设置为True以返回令牌（步骤1中显示的代码），或发出另一个质询以继续重复步骤1-3

最后，确保您的用户池也启用了if case insensitivity选项。另外，如果用户处于FORCE_CHANGE_PASSWORD状态，我也不能准确地回忆起CUSTOM_AUTH流是否工作。如果用户处于该状态，请尝试使用sdk设置永久密码以将状态设置为CONFIRMED

网友

2楼 · 编辑于 2024-05-21 01:09:43

我也面临同样的错误，我认为错误信息是误导性的。当您在CreateAuth Challenge lambda中没有正确响应时，将出现此错误。所以要确保你的lambda里一切正常

相关问题更多 >

编程相关推荐

热门问题

热门文章