AWS Amplify JS 中 Cognito 用户认证的 Lambda 触发器异常处理

在 AWS Amplify JS 项目中集成 Cognito 用户认证时，开发者可能会遇到一个特殊场景：当用户不存在于用户池中时，系统抛出 InvalidLambdaResponseException 异常而非预期的用户不存在错误。这种情况通常与 Cognito 的 Lambda 触发器配置相关。

问题现象

当应用程序调用 signIn 方法尝试认证一个不存在的用户时，前端会接收到 InvalidLambdaResponseException: Invalid lambda function output : Invalid JSON 的错误提示，而不是标准的 UserNotFoundException。这种异常行为会导致开发者难以实现正确的错误处理逻辑。

根本原因分析

这种异常行为源于 Cognito 用户池的两个关键配置的交互作用：

1. 预认证 Lambda 触发器：在用户认证前执行的 Lambda 函数，用于执行额外的验证逻辑
2. 防止用户存在错误设置：Cognito 的一项安全功能，旨在防止通过错误信息枚举用户

当这两个功能同时启用时，如果预认证 Lambda 没有正确处理用户不存在的场景，就会导致上述异常。

解决方案

推荐方案：完善预认证 Lambda 逻辑

最佳实践是保持安全设置开启，同时修改预认证 Lambda 的代码以正确处理用户不存在的场景。Lambda 函数应该：

1. 明确检查用户是否存在
2. 对于不存在的用户，返回结构化的错误响应
3. 确保所有响应都是有效的 JSON 格式

不推荐方案：关闭安全设置

虽然可以通过禁用"防止用户存在错误"设置来避免这个问题，但这会降低系统的安全性，使攻击者可能通过错误信息枚举有效用户。因此不建议采用此方案。

实施建议

对于使用 AWS Amplify JS 的开发者，建议：

1. 检查 Cognito 用户池的 Lambda 触发器配置
2. 确保所有认证相关的 Lambda 函数都能正确处理各种边界情况
3. 在前端代码中做好错误处理，考虑到各种可能的异常场景
4. 保持 Cognito 的安全设置处于启用状态

通过这种方式，开发者可以在保证系统安全性的同时，提供良好的用户体验和准确的错误反馈。