Я работаю над веб-приложением, в котором пользователи могут входить / регистрироваться со своими личными адресами электронной почты или входить в систему с федеративными идентификаторами, такими как Facebook / Twitter. Я настроил пул пользователей Cognito и пул идентификаторов для них.
После успешного входа в систему будут вызваны API, размещенные на шлюзе API, для отображения некоторых данных в приложении. Я хотел бы реализовать авторизацию для каждого вызова API-вызова и возвращать ответ только для авторизованных пользователей.
Я создал User Pool Authorizer в API Gateway, и я могу аутентифицировать пользователей, созданных в userpool, на основе Id Token.
Насколько я понимаю, для аутентификации пользователей из пула удостоверений я могу использовать AWS_IAM в Api Gateway. AWS_IAM может быть неправильным решением для моего приложения, поскольку API может быть вызван пользователем в пользовательском пуле, а также в пуле идентификаторов.
Я думаю о реализации аутентификации с помощью Custom Authorizer с использованием функций Lambda.
Если необходимо реализовать настраиваемый авторизатор, должна ли проверка документа политики на основе токена сеанса быть достаточной для проверки пользователей как из пула пользователей, так и из пула удостоверений? Пожалуйста, предложите альтернативы для настраиваемой авторизации, если таковые имеются.
заранее спасибо