爲什麼Cognito令牌在與聯合身份驗證一起使用時過快（15分鐘）

Question

我想爲我的應用程序使用Cognito & Google登錄。我認爲使用這種方式是聯邦身份？

我想我需要使用GetId和GetOpenIdToken才能爲我的Google用戶獲取Cognito標記？這工作，但

OpenId令牌有效15分鐘。

爲什麼這個令牌過期如此之短？這是否意味着這種用例 - 一個正常的REST API？我打算將它用於API網關。

UPDATE

我發現http://serverless-stack.com/chapters/cognito-user-pool-vs-identity-pool.html提供聯合身份的一種有用的解釋VS用戶池。它和我想象的不一樣。

• 用戶游泳池：處理身份驗證，忘記密碼等
• 聯合身份：給出了用戶羣的用戶訪問，社會登錄訪問AWS資源

Answer 1

它是短暫的，因爲它的主要目的是傳回以獲取AWS憑證。如果您使用的是'3跳'，舊流，它是來自GetOpenIdToken的響應，並被賦予AssumeRoleWithWebIdentity。

推薦的流程是使用「增強流量」，這不需要等式。 API GetCredentialsForIdentity獲取令牌並在一個API中獲取憑證，絕不會返回令牌。您可以通過憑證本身以這種方式與APIGW進行集成。