1
J'utilise la pile de technologie suivante pour mon application webCloudFront Signés Cookies Conserver l'état de session pour les API Access Gateway
- CloudFront comme un serveur proxy CDN
- S3 orign à CloudFront pour servir AngularJS demande
- origine APIGateway à CloudFront pour API REST
- Cognito UserPools avec CognitoAuthorizer pour l'authentification à la passerelle API
Pour stocker la session utilisateur de l'application Web, je stocke généralement le fichier JWT émis depuis Cognito dans un cookie côté client, HTML5 LocalStorage ou SessionStorage.
Cependant, je suis curieux de savoir que les cookies signés CloudFront peuvent fournir un état de session pour les applications Web. J'espère utiliser les cookies signés pour stocker JWT et utiliser Edge Lambda pour mapper un cookie signé à l'en-tête d'autorisation pour authentifier la passerelle API. Je suis intéressé à savoir
- L'utilisation de cookies signés CloudFront pour stocker JWT fonctionnera-t-elle?
- Est-ce une bonne approche pour stocker l'état de la session dans les cookies signés pour les applications Web?
- Si oui, quelles sont les meilleures pratiques? Je ne suis pas sûr d'utiliser Edge Lambda est la bonne approche.
* "Cependant, j'ai récemment découvert que les cookies signés CloudFront peuvent fournir un état de session pour les applications Web" * Cela ne semble pas correct. Les cookies signés sont simplement un autre moyen pour le navigateur de présenter les mêmes paires clé/valeur utilisées dans une URL signée CloudFront. Où avez-vous vu ou entendu cela? –
J'ai compris à partir du lien suivant https://arinenote.wordpress.com/2015/10/21/creating-amazon-cloudfront-signing-cookies-in-node-js/ puisque si nous pouvons créer un cookie à partir d'une passerelle API point de terminaison, je pourrais être capable (non vérifié) de stocker un JWT dans le cookie. Est-ce que ça va marcher? – Ashan