ホーム>プログラミング関連>その他のソースコード
ダウンロード

Cognito-Express: AWS Congito による API 認証

あらすじ

cognito-express は、Amazon Cognito によって生成されたAccessTokenまたはIDTokenの JWT 署名を検証することにより、Node.js アプリケーション (サーバー上または AWS Lambda 関数内で実行されているもの) 上の API リクエストを認証します。

モチベーション

このモジュールを使用すると、API 呼び出しごとに Amazon Cognito を呼び出す必要がなく、 AccessTokenまたはIDTokenの JWT 署名を検証することで Node.js API リクエストを認証できます。

このモジュールは、Express などの Connect スタイルのミドルウェアをサポートするアプリケーションやフレームワークに簡単かつ目立たずに統合できます。

このモジュールは基本的に、Web API での ID トークンとアクセス トークンの使用に関する AWS の公式ドキュメントにリストされているステップ 1 ~ 7 をバンドルしています。

  1. ユーザープール用の JSON Web Token (JWT) セットをダウンロードして保存します。
  2. トークン文字列を JWT 形式にデコードします。
  3. issクレームを確認してください。ユーザープールと一致する必要があります。
  4. tokenUseクレームを確認します。 accessまたはidトークン タイプの設定設定と一致する必要があります。
  5. JWT トークン ヘッダーから kid を取得し、手順 1 で保存された対応する JSON Web キーを取得します。
  6. デコードされた JWT トークンの署名を確認します。
  7. exp クレームを確認し、トークンの有効期限が切れていないことを確認してください。

これで、トークン内のクレームを信頼して、要件に合ったものを使用できるようになりました。

前提条件

ユーザーの認証が成功すると、Amazon Cognito はクライアントに 3 つのトークンを発行します。

  • IDトークン
  • アクセストークン
  • リフレッシュトークン

(注: ログイン メカニズムはこのモジュールではカバーされていないため、別途構築する必要があります)

これらのトークンをクライアント アプリ内に保存します (できれば Cookie として)。 API がクライアントから呼び出されるときは、 AccessTokenまたはIDTokenをサーバーに渡します。

AccessTokenまたはIDTokenを渡す方法は完全にあなた次第です。以下に 2 つのオプションがあります。

  1. リクエストヘッダーに明示的に追加する
  2. トークンを Cookie として保存するだけです。このようにして、API が呼び出されるたびにリクエスト ヘッダーにアタッチされます。

構成

 //Initializing CognitoExpress constructor
const cognitoExpress = new CognitoExpress ( {
	region : "us-east-1" ,
	cognitoUserPoolId : "us-east-1_dXlFef73t" ,
	tokenUse : "access" , //Possible Values: access | id
	tokenExpiration : 3600000 //Up to default expiration of 1 hour (3600000 ms)
} ) ;

使用法

 cognitoExpress . validate ( accessTokenFromClient , function ( err , response ) {
	if ( err ) {
		/*
			//API is not authenticated, do something with the error.
		    //Perhaps redirect user back to the login page
			
			//ERROR TYPES:
			
			//If accessTokenFromClient is null or undefined
			err = {
			    "name": "TokenNotFound",
			    "message": "access token not found"
			}
			
			//If tokenuse doesn't match accessTokenFromClient
			{
			    "name": "InvalidTokenUse",
			    "message": "Not an id token"
			}

			//If token expired
			err = {
			    "name": "TokenExpiredError",
			    "message": "jwt expired",
			    "expiredAt": "2017-07-05T16:41:59.000Z"
			}

			//If token's user pool doesn't match the one defined in constructor
			{
			    "name": "InvalidUserPool",
			    "message": "access token is not from the defined user pool"
			}

		*/
	} else {
		//Else API has been authenticated. Proceed.
		res . locals . user = response ; //Optional - if you want to capture user information
		next ( ) ;
	}
} ) ;

非同期/待機パターンもサポート

 ( async function main ( ) {
  try {
    const response = await cognitoExpress . validate ( accessTokenFromClient ) ;
    console . log ( response ) ;
     //User is authenticated, proceed with rest of your business logic.

  } catch ( e ) {
    console . error ( e ) ;
     //User is not authenticated, do something with the error.
     //Perhaps redirect user back to the login page
  }
} ) ( ) ;

完全な例

app.js - サーバー
 //app.js
"use strict" ;

const express = require ( "express" ) ,
	CognitoExpress = require ( "cognito-express" ) ,
	port = process . env . PORT || 8000 ;

const app = express ( ) ,
	authenticatedRoute = express . Router ( ) ; //I prefer creating a separate Router for authenticated requests

app . use ( "/api" , authenticatedRoute ) ;

//Initializing CognitoExpress constructor
const cognitoExpress = new CognitoExpress ( {
	region : "us-east-1" ,
	cognitoUserPoolId : "us-east-1_dXlFef73t" ,
	tokenUse : "access" , //Possible Values: access | id
	tokenExpiration : 3600000 //Up to default expiration of 1 hour (3600000 ms)
} ) ;

//Our middleware that authenticates all APIs under our 'authenticatedRoute' Router
authenticatedRoute . use ( function ( req , res , next ) {
	
	//I'm passing in the access token in header under key accessToken
	let accessTokenFromClient = req . headers . accesstoken ;

	//Fail if token not present in header. 
	if ( ! accessTokenFromClient ) return res . status ( 401 ) . send ( "Access Token missing from header" ) ;

	cognitoExpress . validate ( accessTokenFromClient , function ( err , response ) {
		
		//If API is not authenticated, Return 401 with error message. 
		if ( err ) return res . status ( 401 ) . send ( err ) ;
		
		//Else API has been authenticated. Proceed.
		res . locals . user = response ;
		next ( ) ;
	} ) ;
} ) ;


//Define your routes that need authentication check
authenticatedRoute . get ( "/myfirstapi" , function ( req , res , next ) {
	res . send ( `Hi ${ res . locals . user . username } , your API call is authenticated!` ) ;
} ) ;

app . listen ( port , function ( ) {
	console . log ( `Live on port: ${ port } !` ) ;
} ) ;
client.js - 角度のある例
 //client.js - angular example

"use strict" ;

//I stored my access token value returned from Cognito in a cookie called ClientAccessToken

app . controller ( "MyFirstAPI" , function ( $scope , $http , $cookies ) {
	$http ( {
		method : "GET" ,
		url : "/api/myfirstapi" ,
		headers : {
			accesstoken : $cookies . get ( "ClientAccessToken" ) 
            }
		}
	} ) . then (
		function success ( response ) {
			//Authenticated. Do something with the response. 
		} ,
		function error ( err ) {
			console . error ( err ) ;
		}
	) ;
} ) ;

貢献者

ゲイリー・アローラ

ライセンス

マサチューセッツ工科大学

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて