您如何使用AWSELB Cookie还为您的后端应用程序提供验证？

Question

因此，我了解OIDC在大多数情况下的工作方式。我知道如果我们直接使用OIDC（而无需为我们处理），我知道如何解决这个问题。浏览器只需将其 access_token 发送给我们所有异步调用，我们可以根据OIDC提供商托管的OIDC userInfo 服务对其进行验证。

但是，AWS实现并未将这些常见的OIDC值暴露于浏览器，并且只给了我们他们的专有加密cookie，例如 awselb 。这很好，对于超级基本网站，您不在乎一旦授权用户实际对用户进行身份验证，但我们都在乎这两者。

当我们的回调击中回调时，我们还可以生成专有的“会话密钥”，并使用它而不是 awselb cookie ...但是似乎在重新发明了方向盘。 当然，必须有一种让我们的后端应用程序代码重复使用 awselb cookie来验证用户的身份？ aws文档，没有这样的WebService允许我们允许我们验证从我们的服务器代码中的cookie。

Answer 1

负载平衡器将IDP的访问令牌作为标头提供： x-amzn-oidc-accessToken ;您应该能够针对IDP进行验证。它还在标题中提供用户索赔： x-amzn-oidc-data 。

请参阅