使用AWS Amplify实现React Native与React Admin应用的多租户权限控制

2025-05-25 19:10:05作者：凌朦慧Richard

背景介绍

在现代移动应用开发中，经常需要同时开发面向终端用户的移动应用(React Native)和面向管理员的后台管理系统(React)。AWS Amplify作为一套完整的云服务开发工具包，为这类场景提供了完善的解决方案。本文将详细介绍如何利用AWS Amplify实现React Native应用和React管理后台的权限隔离，确保只有管理员用户才能访问管理后台。

核心挑战

当React Native应用和React管理后台共享同一个后端时，面临的主要挑战是如何实现权限隔离。具体需求包括：

终端用户只能通过React Native应用登录
管理员用户才能通过React管理后台登录
共享同一套身份验证和API服务

解决方案架构

1. Cognito用户池配置

实现权限隔离的核心在于合理配置AWS Cognito用户池。建议采用以下配置方案：

创建多个应用客户端：为移动端和管理后台分别创建独立的App Client ID
资源服务器配置：为每个客户端分配不同的OAuth作用域(scope)
用户组管理：利用Cognito用户组功能区分普通用户和管理员

2. 身份验证流程优化

对于React管理后台，应采用以下验证流程：

配置Hosted UI作为登录入口
设置自定义OAuth作用域，限制只有特定客户端可以使用
在登录后验证用户所属组别，确保只有管理员可以继续访问

3. 权限验证实现

在API层面，可以通过以下方式实现权限控制：

GraphQL指令：使用@auth指令限制特定用户组的访问权限
Lambda授权：在pretoken生成阶段添加用户组信息
IAM策略：通过身份池策略限制不同客户端的访问权限

具体实施步骤

第一步：用户池配置

在Cognito控制台中创建两个应用客户端：一个用于React Native，一个用于React管理后台
创建资源服务器并定义自定义作用域，如admin_access
将admin_access作用域分配给管理后台应用客户端

第二步：前端配置

对于React管理后台，Amplify配置应包含：

Auth: {
  region: 'your-region',
  userPoolId: 'your-user-pool-id',
  userPoolWebClientId: 'admin-client-id',
  oauth: {
    domain: 'your-domain.auth.your-region.amazoncognito.com',
    scope: ['email', 'openid', 'profile', 'your-resource-server/admin_access'],
    redirectSignIn: 'your-admin-app-url',
    redirectSignOut: 'your-admin-app-url',
    responseType: 'code'
  }
}

第三步：权限验证

在管理后台的入口处添加组别验证：

import { Auth } from 'aws-amplify';

async function checkAdmin() {
  const user = await Auth.currentAuthenticatedUser();
  const groups = user.signInUserSession.accessToken.payload['cognito:groups'];
  if (!groups || !groups.includes('Admins')) {
    await Auth.signOut();
    // 重定向到无权限页面
  }
}