Wie validiere ich nicht authentifizierte Benutzer von einer mobilen App auf einem Server?

Question

Mein Ziel: Lassen Sie eine mobile App verwenden, bei der sich keine Benutzer anmelden müssen. Lassen Sie diese nicht authentifizierten Benutzer meinen Server erreichen.

Was ich habe: Mein Server verwendet das AWS API Gateway/AWS Lambda-Setup. Die benutzerdefinierte Autorisierung, die ich für AWS API Gateway verwendet habe, wurde mit dieser example entwickelt. Ich habe auch den Code aus diesem Beispiel unter (A) eingefügt.

Meine Frage: Aus dem Codeblock unter (A), habe ich den Eindruck ich JWT verwendet werden soll. Wie kann ich JWT verwenden, um nicht authentifizierte Benutzer zu validieren, wenn diese Tokens ablaufen? Wenn JWT nicht das Beste ist, was wäre das?

Danke!

(A)

var nJwt = require('njwt'); 
var AWS = require('aws-sdk'); 
var signingKey = "CiCnRmG+t+ BASE 64 ENCODED ENCRYPTED SIGNING KEY Mk="; 

exports.handler = function(event, context) { 
    console.log('Client token: ' + event.authorizationToken); 
    console.log('Method ARN: ' + event.methodArn); 
    var kms = new AWS.KMS(); 

    var decryptionParams = { 
    CiphertextBlob : new Buffer(signingKey, 'base64') 
    } 

    kms.decrypt(decryptionParams, function(err, data) { 
    if (err) { 
    console.log(err, err.stack); 
    context.fail("Unable to load encryption key"); 
    } else { 
    key = data.Plaintext; 

    try { 
    verifiedJwt = nJwt.verify(event.authorizationToken, key); 
    console.log(verifiedJwt); 

    // parse the ARN from the incoming event 
    var apiOptions = {}; 
    var tmp = event.methodArn.split(':'); 
    var apiGatewayArnTmp = tmp[5].split('/'); 
    var awsAccountId = tmp[4]; 
    apiOptions.region = tmp[3]; 
    apiOptions.restApiId = apiGatewayArnTmp[0]; 
    apiOptions.stage = apiGatewayArnTmp[1]; 

    policy = new AuthPolicy(verifiedJwt.body.sub, awsAccountId, apiOptions); 

    if (verifiedJwt.body.scope.indexOf("admins") > -1) { 
     policy.allowAllMethods(); 
    } else { 
     policy.allowMethod(AuthPolicy.HttpVerb.GET, "*"); 
     policy.allowMethod(AuthPolicy.HttpVerb.POST, "https://stackoverflow.com/users/" + verifiedJwt.body.sub); 
    } 

    context.succeed(policy.build()); 

    } catch (ex) { 
    console.log(ex, ex.stack); 
    context.fail("Unauthorized"); 
    } 
} 
}); 
}; 

Answer 1

Meine Frage: Aus dem Codeblock unter (A), ich habe den Eindruck, ich sollte JWT verwenden. Wie kann ich JWT verwenden, um nicht authentifizierte Benutzer zu validieren, wenn diese Token ablaufen? Wenn JWT nicht das Beste ist, was wäre ?

Warum brauchen Sie überhaupt eine Validierung? Wenn Sie nicht authentifizierten Zugriff auf Ihre API zulassen möchten, sollten Sie dies tun und sich etwas Mühe sparen.

aktualisieren

Wenn Sie den Zugriff einschränken möchten und keinen Benutzer benötigen um sich einzuloggen, einfach zu prüfen, können Sie Cognito Identity verwenden. Es unterstützt nicht authentifizierte Identitäten und die Migration zu authentifiziertem Zugriff über Cognito Ihre Benutzerpools oder einen anderen Verbundanbieter. Es ist erwähnenswert, dass Sie Ihre Identitätspool-ID in Ihrer App sichern/verdunkeln möchten, wenn Sie diese Route verwenden, um die Wahrscheinlichkeit zu minimieren, dass sie extrahiert wird. Mit Cognito Identity können Sie AWS-Anmeldeinformationen abrufen, um die Anforderungen an Ihre API mit der Standard-Signaturversion 4 zu signieren und die Kosten und den Aufwand für die Verwaltung eines benutzerdefinierten Authorizers zu vermeiden.