Ich baue eine serverlose Reaktion App, die Cognito für die Anmeldung/Abmeldung verwendet. Die App ruft das API-Gateway auf, das für die Verwendung des Cognito-Benutzerpools als benutzerspezifischen Autor konfiguriert ist.Wann validiert API Gateway widerrufene Cognito ID-Token
Ich baue auch eine Lambda-Funktion, um einen Benutzer abzumelden (cognitoIdentityServiceProvider.globalSignOut
).
Wenn ich mich in der App anmelde und dann die Lambda-Funktion zur Ausführung einer Administrator-Abmeldung aufruft, sind Aufrufe an geschützte API-Gateway-Funktionen aus der App noch gültig (mit Cognito ID-Token in Authorization
Header übergeben);
Sind Administratoranrufe wie cognitoIdentityServiceProvider.globalSignOut
und cognitoIdentityServiceProvider.adminUserGlobalSignOut
nicht in Echtzeit oder ist das API-Gateway so konfiguriert, dass es nur nach einer Stunde validiert wird?
danke für die Antwort, aber könnten Sie bestätigen, dass der Aufruf von 'adminUserGlobalSignOut' den Benutzer sofort abmeldet oder * nicht *, sondern erst danach, wenn das Refresh-Token vor einer Stunde verwendet werden muss. In meinem Fall muss ich die Benutzersitzung sofort beenden, aber das scheint nicht der Fall zu sein, da der 'authorization' Header mit dem Token beim Aufruf von API Gateway immer noch eine gültige Sitzung anzeigt (dh API Gateway gibt kein Fehler bei ungültigem Benutzertoken oder ähnlichem, wie zB "Zugriffstoken wurde widerrufen." Bitte aktualisieren Sie Ihre Antwort entsprechend mit dem bekannten Verhalten von API Gateway. – user1322092
habe meine Frage aktualisiert, um Klarheit über das Token zu haben. API Gateway benutzerdefiniertes Authorizer, das ein Cognito verwendet Benutzerpool erfordert nur das Cognito-ID-Token ('axios.defaults.headers.common.Authorization = session.idToken.jwtToken;'). – user1322092