amazon-web-services - 如何在 AWS Lambda 函数中获取经过 Cognito 身份验证的用户信息？

Question

我正在为我的 Angular 应用开发无服务器后端。

用户使用 AWS Cognito 进行身份验证，并且可以通过 API Gateway(使用通过 API Gateway 控制台生成的 SDK)访问 AWS Lambda 函数。

问题:如何获取有关哪个用户正在调用 Lambda 函数的信息？ Lambda 函数使用 python 和 boto3。

用例:我需要记录用户事件以符合 GDPR，因此我需要知道哪个用户正在调用 Lambda 函数。

Answer 1

API Gateway has recently launched support for Cognito User Pool Authorizer. Once your API methods are configured with Cognito User Pool Authorizer, you can pass unexpired ID Token in the Authorization header to your API methods.

If it’s a valid ID Token for a user of your User Pool, you can then access all the claims of ID Token in your API using ‘$context.authorizer.claims’.

For example ‘$context.authorizer.claims.email’ will return user’s email address and ‘$context.authorizer.claims.sub’ will return you user’s unique identifier.

If the ID token is expired or is invalid, Cognito User Pool Authorizer will send Unauthorized (401) response to the caller.

正如您从他们的出版物中了解到的那样，您可以从授权 header 的未过期 ID token 中获取声明。