AWS Amplify 中 GraphQL API 授权模式深度解析

问题背景

在 AWS Amplify 项目中，开发者经常遇到 API 授权相关的问题。一个典型场景是：当配置了允许认证用户访问 GraphQL API 后，实际调用时却收到"Permission denied"错误。这种情况通常源于对 Amplify 授权机制的理解不足。

核心概念解析

1. 认证与授权模式

AWS Amplify 提供了多种授权模式，主要分为两类：

1. Cognito 用户池模式 (userPool)

   • 使用 JWT 令牌进行认证
   • 适合需要精细权限控制的场景
   • 请求头中包含 Authorization: Bearer

2. 身份池模式 (identityPool)

   • 使用 AWS IAM 凭证进行认证
   • 支持认证用户和匿名访客两种身份
   • 请求通过 SigV4 签名

2. 授权规则配置

在资源定义文件中，授权规则通过 allow 方法配置：

.authorization((allow) => [
  allow.authenticated(),        // 用户池认证
  allow.authenticated("identityPool"), // 身份池认证
  allow.guest()                 // 匿名访问
])

常见问题解决方案

1. 授权模式不匹配

问题现象：
配置了 allow.authenticated() 但使用 IAM 模式调用 API。

解决方案：
确保客户端调用时指定正确的 authMode：

// 使用用户池模式
client.models.user.list({
  authMode: "userPool"
});

// 使用身份池模式
client.models.user.list({
  authMode: "identityPool"
});

2. 混合认证场景实现

当需要同时支持认证用户和匿名访问时，推荐实现方式：

async function queryData() {
  try {
    const authUser = await getCurrentUser();
    const result = await client.models.user.list({
      authMode: authUser?.userId ? "userPool" : "identityPool"
    });
    return result;
  } catch (error) {
    console.error("Query failed:", error);
  }
}

最佳实践建议

1. 明确认证需求

   • 仅内部用户访问：使用用户池模式
   • 需要匿名访问：使用身份池模式
   • 混合场景：明确区分两种模式的权限边界

2. 环境一致性检查

   • 确保后端 schema 授权规则与前端调用模式匹配
   • 开发环境与生产环境配置一致

3. 错误处理
   实现完善的错误处理逻辑，针对不同授权错误提供明确反馈：

try {
  // API 调用
} catch (error) {
  if (error.message.includes("Unauthorized")) {
    // 处理授权错误
  } else {
    // 处理其他错误
  }
}

技术原理深入

认证流程对比

用户池认证流程：

1. 用户通过 Cognito 登录获取 JWT
2. 客户端直接使用 JWT 访问 API
3. AppSync 验证 JWT 有效性

身份池认证流程：

1. 用户登录后获取 JWT
2. 客户端用 JWT 获取临时 AWS 凭证
3. 使用凭证签名请求
4. AppSync 验证 IAM 权限

权限模型差异

• 用户池模式：基于用户属性和组进行精细授权
• 身份池模式：基于 IAM 策略的粗粒度授权

理解这些底层机制有助于开发者更合理地设计应用权限架构，避免常见的授权问题。