AWS ALB认知JWT/OIDC认证

Question

我们正在尝试将AWS ALB与认知用户池集成在一起。我们在ALB中有设置规则来验证用户与认知客户端之间的关系。在webapp身份验证之后，将设置会话cookie。一切都很好。

现在，我们有了一个桌面应用程序，它可以在内部连接认知，获取访问令牌JWT并管理它(刷新等等)。现在，我们试图使用此访问令牌作为授权头向ALB发送http请求。ALB再次将这些请求重定向到Cognito登录页面，而不是验证(并允许)出现在Auth头中的JWT。

我们期望的是，如果请求包含有效的Auth报头(JWT)，ALB应该首先验证它，然后允许它，如果成功的话。看来ALB不检查Auth标头。我们如何通过ALB实现这一目标？

此外，桌面应用程序是否有可能直接使用ALB (而不是Cognito)并使用会话ID而不是JWT/Access令牌？

Answer 1

我将假设您遵循了这里指令，并设置了一个包含actions、authenticate-cognito和forward的单一侦听器规则。

如果是，那么我认为最好的解决方案是添加一个具有主机报头条件的更高优先级规则。

如果这样做，后端的授权代码必须同时查找Authorization和x-amzn-oidc-accesstoken。