在AWS Amplify中实现AppSync Events与Cognito用户池的SSR认证集成

2025-05-24 22:20:15作者：袁立春Spencer

背景介绍

在现代Web应用开发中，实时数据推送已成为提升用户体验的关键功能。AWS Amplify提供的AppSync Events API基于WebSocket协议，能够实现客户端与服务器之间的双向通信。然而，当应用采用Next.js的服务端渲染(SSR)架构并结合Cognito用户池认证时，传统的客户端认证方式会遇到挑战。

核心问题分析

AppSync Events API默认设计为客户端直接认证，这在纯客户端渲染(CSR)应用中运作良好。但当使用Next.js的SSR模式配合HTTP-only Cookie进行认证时，会出现以下技术难点：

HTTP-only Cookie无法被客户端JavaScript直接访问
服务端获取的认证凭证无法直接传递给客户端WebSocket连接
静态API密钥认证方式存在安全隐患

解决方案实现

服务端Token获取端点

首先需要创建一个安全的API路由来获取访问令牌：

// API路由实现
import { NextResponse } from "next/server"
import { cookies } from "next/headers"
import { fetchAuthSession } from "aws-amplify/auth/server"

export async function GET() {
  try {
    const session = await fetchAuthSession({ 
      // 从请求中获取cookie
    })
    
    if (!session.tokens?.accessToken) {
      return NextResponse.json({ error: "未授权" }, { status: 401 })
    }

    return NextResponse.json({
      accessToken: session.tokens.accessToken.toString(),
    })
  } catch (error) {
    console.error("获取Cognito令牌错误:", error)
    return NextResponse.json({ error: "服务器错误" }, { status: 500 })
  }
}

客户端Amplify配置

在客户端组件中，通过自定义tokenProvider将服务端获取的令牌注入到Amplify配置中：

// 客户端配置
import { decodeJWT } from 'aws-amplify/auth';

Amplify.configure(
  {
    API: {
      Events: {
        endpoint: `https://events.example.com/event`,
        region: 'us-east-1',
        defaultAuthMode: "userPool",
      },
    },
  },
  {
    Auth: {
      tokenProvider: {
        getTokens: async () => {
          const res = await fetch("/api/cognito-token")
          const { accessToken } = await res.json()
          return {
            accessToken: decodeJWT(accessToken),
          }
        },
      },
    },
  },
)