OAuth2-Proxy UserInfo API返回的数据太少。如何获取更多的花岗岩用户数据？

Question

我已经整合了 oauth2-proxy aws aws cognito cognito cognito opagnito eververaging Istio所述=“ https://www.jetstack.io/blog/istio-oidc/” rel =“ nofollow noreferrer”> Jetstack的文章，所有这些都在K8中运行。

现在，我正在寻找一种方法来获取用户数据和其他属性喜欢性别， phone_number ，甚至获取 cognito：ground> cognito：groups 在我的前端应用程序中的值。所有这些信息都存在于JWT有效载荷中，但不在前端侧。

想法：

1. API呼吁 oauth2-proxy /auth2/userInfo 返回用户电子邮件的端点。不多，对吧？
2. 我发现 cognitio 返回更多，但我不喜欢用 aws-sdk 锁定前端的想法，或者在FE方面与JWT达成任何交易。
3. 构建一个后端服务，该服务返回JWT的有效负载输出，以自定义标题 istio的requestAuthentication功能，例如 whoami 。但是，等等，另外一份微服务？

这些对我来说似乎都不是对的。

我应该采取更好的方法吗？例如，为了扩展OAuth2-Proxy的/auth2/userInfo 端点以返回更多的电子邮件，

请感谢任何帮助

谢谢！

Answer 1

看起来您正在使用后端进行前端方法，而Oauth代理执行了BFF角色。前端应该能够询问userInfo或ID令牌的信息，如这个curity示例。

但是，似乎有一个漫长的问题您需要解决。

感觉应该在现有的API中完成最干净的解决方法，例如 get /userclaims < /code>。 API接收访问令牌，因此可以将其发送到Cognito UserInfo端点，然后将结果返回到客户端。这避免了需要在客户端或AWS库中使用JWT。

这是一些称为Cognito的UserInfo端点。这也可能是一种机制，可以包括域特定的主张在UserInfo中返回到UI。