API-网关Auth: AWS sigv4与认知用户池JWT

Question

当我使用API-Gateway定义我的端点时，我的一些端点只能从签名的用户访问。(我正在使用认知用户池来管理我的用户)

我看到了实现这个目标的不同方法。

1. SigV4，见第19页；
2. 来自认知用户池的JWT令牌，请参见第23页

现在，我正在使用选项2，但我不明白什么时候应该使用选项1，它们本质上只是实现相同目标的不同方法，还是不同的？

Answer 1

尽管稍加努力，它们可以被“半”--交替地使用--但它们背后有一个不同的意图：

• SigV4的目标是访问您的AWS帐户中的IAM用户/角色的人。
• Cognito/JWT旨在允许您创建和管理一组独立于AWS帐户用户的用户组(例如，在认知用户中)，并且有一种机制来验证这些身份。

对于大多数API网关的使用，我认为认知(或API键)是最好的选择。尽管有一些体系结构模式，您可以让API用户通过临时IAM凭据直接访问帐户中的资源。