APIバックエンドでAWS CognitoからJWTを確認するにはどうすればよいですか？

Question

私はAngular2シングルページアプリとECS上で動作するREST APIからなるシステムを構築しています。 APIは.Net/Nancyで動作しますが、それはうまく変わる可能性があります。

私はCognitoを試してみることにしたい、これは私が認証ワークフローを想像する方法です：JWTユーザーで

1. SPAのサインをし、受信
2. SPAは、JWTは、すべてのリクエストにAPIをRESTに送信
私のステートレス、オートスケール、負荷分散されたD：JWTは

私の質問は、ステップ3 どのように私のサーバー（というかについてです本物である

REST APIのverfies ocker containers）トークンが本物であることを確認しますか？ "server"はJWT自体を発行していないので、独自のシークレットを使用することはできません（基本的なJWTの例hereで説明されています）。

私はCognitoのドキュメントを読んでたくさんのグーグルで探ってきましたが、サーバー側でJWTをどうすればよいかについての良いガイドラインは見つかりません。

Answer 1

私はドキュメントを正しく読まなかった。 hereについて説明しています（「Web APIでIDトークンとアクセストークンを使用する」までスクロールしてください）。

APIサービスは、Cognitoの秘密をダウンロードし、受信したJWTを確認するために使用することができます。完璧。

Groadyさんのコメント@編集

が点にある。しかしはどのようあなたはトークンを検証していますか？私はjose4jやnimbus（どちらもJava）のような戦闘テスト済みのライブラリを使用して、自分で検証を実装しないと言うでしょう。

Here私は最近Java/dropwizardサービスでこれを実装しなければならない時に私を始めたnimbusを使ったSpring Bootの実装例です。

Answer 2

同様の問題がありましたが、APIゲートウェイを使用していませんでした。私の場合は、AWS Cognito Developer Authenticatedアイデンティティルートを介して取得したJWTトークンの署名を検証したかったのです。私はトークンの外部すなわち、サーバ側またはスクリプト経由で

は私が出て考え出したと思うと入れAWS JWTの署名を検証するために、トラブル一緒に縫い合わせ、正確にビットを必要としていたさまざまなサイト上の多くのポスターのように

〜に向けてverify an AWS JWT token signature。これは、PySwtのPySwtまたはPKCS1_v1_5cを使ってAWS JWT/JWSトークンを検証します。

これは私の場合はPythonです要求）。

私はこれを理解しようとしているときに、私は大部分が正しいことをしていましたが、python dictの注文や欠如、json表現などのニュアンスがあったからです。

誰かのどこかに助けてくれることを願っています。ここで

Answer 3

はNodeJSに署名を検証する方法です：

var jwt = require('jsonwebtoken'); 
var jwkToPem = require('jwk-to-pem'); 
var pem = jwkToPem(jwk); 
jwt.verify(token, pem, function(err, decoded) { 
    console.log(decoded) 
}); 


// Note : You can get jwk from https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/jwks.json