Je crée une application de réaction sans serveur qui utilise Cognito pour la connexion/déconnexion. L'application appelle API Gateway qui est configurée pour utiliser le pool d'utilisateurs Cognito en tant qu'autorisateur personnalisé.Quand API Gateway valide-t-il le jeton Cognito ID révoqué?
Je crée également une fonction lambda pour déconnecter un utilisateur (cognitoIdentityServiceProvider.globalSignOut
). Lorsque je me connecte à l'application et que j'appelle la fonction lambda pour effectuer une déconnexion admin, les appels aux fonctions de passerelle API protégées de l'application sont toujours valides (avec le jeton Cognito ID passé en Authorization
en-tête);
Les appels d'administration tels que cognitoIdentityServiceProvider.globalSignOut
et cognitoIdentityServiceProvider.adminUserGlobalSignOut
ne sont-ils pas en temps réel ou API Gateway est-elle configurée pour valider uniquement après une heure?
merci de répondre, mais pouvez-vous confirmer qu'appeler 'adminUserGlobalSignOut' fait ou * ne * déconnecte pas l'utilisateur immédiatement, mais seulement après quand le jeton d'actualisation doit être utilisé, avant une heure. Dans mon cas, je dois terminer la session utilisateur immédiatement, mais cela ne semble pas être le cas, car l'en-tête 'authorization' avec token dans l'appel à API Gateway affiche toujours une session valide (ie API Gateway ne retourne pas un erreur sur le jeton d'utilisateur invalide ou similaire, comme "jeton d'accès a été révoqué" .S'il vous plaît mettre à jour votre réponse en fonction du comportement connu de API Gateway – user1322092
mis à jour ma question pour être clair sur le jeton .Autoriseur personnalisé API Gateway qui utilise un Cognito Le pool d'utilisateurs requiert uniquement le jeton Cognito ID ('axios.defaults.headers.common.Authorization = session.idToken.jwtToken;'). – user1322092