首页
/ AWS SDK for JavaScript v3 中使用 SSO 认证访问 Secrets Manager 的注意事项

AWS SDK for JavaScript v3 中使用 SSO 认证访问 Secrets Manager 的注意事项

2025-06-25 13:58:35作者:冯爽妲Honey

问题背景

在使用 AWS SDK for JavaScript v3 访问 Secrets Manager 服务时,开发者可能会遇到一个常见问题:当从较旧版本(如 3.441.0)升级到较新版本(如 3.623.0)后,原本正常工作的 SSO(Single Sign-On)认证突然失效,出现"UnrecognizedClientException: The security token included in the request is invalid"错误。

问题分析

这个问题的本质在于 AWS SDK for JavaScript v3 在不同版本中对 SSO 认证处理方式的变更:

  1. 旧版本行为:在 3.441.0 及更早版本中,SDK 会自动检测并使用本地 AWS CLI 配置的 SSO 凭据,开发者无需显式配置 SSO 认证。

  2. 新版本行为:从 3.623.0 开始,SDK 要求开发者必须显式配置 SSO 认证提供者,否则将无法自动获取有效的临时安全凭证。

解决方案

要解决这个问题,开发者需要修改代码,显式使用 fromSSO 凭证提供者:

const { SecretsManagerClient, GetSecretValueCommand } = require('@aws-sdk/client-secrets-manager');
const { fromSSO } = require('@aws-sdk/credential-provider-sso');

const client = new SecretsManagerClient({
  region: 'us-west-2',
  credentials: fromSSO(), // 显式使用SSO凭证提供者
  logger: null
});

深入理解

SSO 认证流程

  1. 开发者首先通过 AWS CLI 执行 aws sso login 命令登录
  2. 登录成功后,AWS CLI 会在本地存储临时访问令牌
  3. SDK 通过 fromSSO 提供者读取这些令牌并获取临时 AWS 凭证
  4. 使用这些凭证访问 AWS 服务(如 Secrets Manager)

版本变更的影响

这种变更反映了 AWS SDK 向更明确、更安全的认证方式演进。显式配置凭证提供者:

  1. 提高了代码的可读性和可维护性
  2. 减少了隐式行为的潜在风险
  3. 使认证流程更加透明可控

最佳实践

  1. 明确凭证来源:始终显式指定凭证提供者,避免依赖隐式行为
  2. 处理凭证过期:实现适当的错误处理逻辑,应对SSO会话过期情况
  3. 环境一致性:确保开发环境和生产环境的认证配置一致
  4. 最小权限原则:为SSO角色配置仅必要的权限

总结

AWS SDK for JavaScript v3 的版本演进带来了更严格的认证要求。开发者需要适应这种变化,通过显式配置 SSO 凭证提供者来确保应用的正确运行。这种变更虽然增加了少量配置工作,但带来了更好的安全性和可维护性,是值得采纳的最佳实践。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
139
1.91 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
73
63
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.29 K
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
921
551
PaddleOCRPaddleOCR
飞桨多语言OCR工具包(实用超轻量OCR系统,支持80+种语言识别,提供数据标注与合成工具,支持服务器、移动端、嵌入式及IoT设备端的训练与部署) Awesome multilingual OCR toolkits based on PaddlePaddle (practical ultra lightweight OCR system, support 80+ languages recognition, provide data annotation and synthesis tools, support training and deployment among server, mobile, embedded and IoT devices)
Python
47
1
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
193
273
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
59
16