12

我正在开发一个自定义无密码身份验证来登录 Cognito 用户池。我将描述我正在尝试实现的内容,以防万一有什么愚蠢的。我希望用户输入他们的电子邮件地址,然后通过电子邮件收到一个神奇的登录链接,当他们点击该链接时,将被带回网站并登录。

这使用自定义身份验证 lambda 函数来定义/创建具有基于时间的密码的质询,并将其通过电子邮件发送给用户。我有几个问题:

问题 1)

当用户返回代码时,他们可能不在同一个浏览器/设备中,当然也不会在同一个选项卡中,因此他们没有会话,这意味着我需要再次调用 cognitoUser.initiateAuth。这将再次通过定义/创建挑战 lambdas,因此即使此时用户来自电子邮件链接,因此已经发送了第二封电子邮件。注意:创建挑战时,会话 id 在事件对象中不可用,而且我仅在最后 3 分钟内阅读了这些会话,而基于时间的密码将持续约 15 分钟,所以我认为我不能包含会话电子邮件中的 ID。

问题2)

您可以从几个地方(浏览器、android 应用程序等)登录,我希望能够将 url 或至少包含协议作为参数来控制电子邮件中发送的内容,例如,如果您在android 应用程序,那么您收到的电子邮件将是 myapp://login?code=xxx,如果您是在网络上完成的,它将是https://example.com/login?code=xxx

如果我能找到某种方法将自定义元数据发送到 DefineChallenge 和 CreateChallenge lambda,这样它就会出现在事件对象中,我似乎就能够实现这两者以正常工作。我认为将 ValidationData 添加到 AuthenticationDetails 对象可以做到这一点,但该信息不会出现在 Lambda fns 的事件对象中。

我发现的解决方法是为每种情况创建一个新的客户端 ID - 一个用于启动身份验证,一个用于兑换令牌,并为每个不同的协议重复。但这很快就会有很多客户 ID - 维护起来很痛苦而且很笨拙。

所以 tl;dr 是:我想在 JS 中从我的 cognitoUser.initiateAuth(...) 调用发送自定义元数据,并让它在我的定义/创建挑战 lambda fns 中可用。

4

1 回答 1

3

您可以将身份验证过程拆分为多个自定义身份验证质询。这允许通过质询响应提供自定义身份验证状态作为客户端元数据。

身份验证会话状态必须保存在数据库中,以便在设备之间共享。

您的自定义登录流程可能有两个挑战步骤:第一个提示输入身份验证类型,第二个提示输入密码。“创建身份验证挑战” Lambda 采取的操作将取决于身份验证类型。如果身份验证类型是“电子邮件”,则生成密码和魔术链接,存储在 DynamoDB 中并通过电子邮件发送。如果身份验证类型为“MagicLink”,则从 DynamoDB 加载密钥。单击魔术链接将启动新的身份验证会话并自动提供所有挑战答案。

还有一些其他的事情需要考虑:

  1. 您的魔术链接需要封装 Cognito 用户名以及一次性机密,可能还有一些其他会话 id,这些会话 id 用作 dynamodb 中的密钥。
  2. 您可能不应该将特定于应用程序的链接放入您的电子邮件中。而是将您的域与您的应用程序关联和/或利用基于 Web 的登录页面的重定向 URI 参数。
  3. 您还可以从 Lambda 函数访问自定义 Cognito 用户属性,这些属性可用于指示用户登录偏好(例如,用于登录代码的电子邮件与 SMS)。
于 2020-10-12T04:01:51.263 回答