AWS SDK for JavaScript v3 中使用 SSO 认证访问 Secrets Manager 的注意事项

问题背景

在使用 AWS SDK for JavaScript v3 访问 Secrets Manager 服务时，开发者可能会遇到一个常见问题：当从较旧版本(如 3.441.0)升级到较新版本(如 3.623.0)后，原本正常工作的 SSO(Single Sign-On)认证突然失效，出现"UnrecognizedClientException: The security token included in the request is invalid"错误。

问题分析

这个问题的本质在于 AWS SDK for JavaScript v3 在不同版本中对 SSO 认证处理方式的变更：

1. 旧版本行为：在 3.441.0 及更早版本中，SDK 会自动检测并使用本地 AWS CLI 配置的 SSO 凭据，开发者无需显式配置 SSO 认证。

2. 新版本行为：从 3.623.0 开始，SDK 要求开发者必须显式配置 SSO 认证提供者，否则将无法自动获取有效的临时安全凭证。

解决方案

要解决这个问题，开发者需要修改代码，显式使用 fromSSO 凭证提供者：

const { SecretsManagerClient, GetSecretValueCommand } = require('@aws-sdk/client-secrets-manager');
const { fromSSO } = require('@aws-sdk/credential-provider-sso');

const client = new SecretsManagerClient({
  region: 'us-west-2',
  credentials: fromSSO(), // 显式使用SSO凭证提供者
  logger: null
});

深入理解

SSO 认证流程

1. 开发者首先通过 AWS CLI 执行 aws sso login 命令登录
2. 登录成功后，AWS CLI 会在本地存储临时访问令牌
3. SDK 通过 fromSSO 提供者读取这些令牌并获取临时 AWS 凭证
4. 使用这些凭证访问 AWS 服务(如 Secrets Manager)

版本变更的影响

这种变更反映了 AWS SDK 向更明确、更安全的认证方式演进。显式配置凭证提供者：

1. 提高了代码的可读性和可维护性
2. 减少了隐式行为的潜在风险
3. 使认证流程更加透明可控

最佳实践

1. 明确凭证来源：始终显式指定凭证提供者，避免依赖隐式行为
2. 处理凭证过期：实现适当的错误处理逻辑，应对SSO会话过期情况
3. 环境一致性：确保开发环境和生产环境的认证配置一致
4. 最小权限原则：为SSO角色配置仅必要的权限

总结

AWS SDK for JavaScript v3 的版本演进带来了更严格的认证要求。开发者需要适应这种变化，通过显式配置 SSO 凭证提供者来确保应用的正确运行。这种变更虽然增加了少量配置工作，但带来了更好的安全性和可维护性，是值得采纳的最佳实践。