AWS Amplify 中 GraphQL Lambda 授权器使用技巧

问题背景

在使用 AWS Amplify 开发应用时，开发者经常会遇到需要自定义授权逻辑的场景。特别是当需要基于用户组(如管理员组和普通用户组)实现不同级别的访问控制时，Lambda 授权器就成为了一个强大的工具。

核心挑战

开发者在使用 Lambda 授权器时遇到的主要问题是：如何正确地将 Cognito 访问令牌(accessToken)传递给 Lambda 授权器。常见的错误现象是，当尝试发送完整的 JWT 令牌时，系统会直接返回"未授权"的错误，而授权器甚至没有机会执行自定义逻辑。

技术原理分析

这个问题背后的根本原因是 AWS AppSync 服务对授权头的特殊处理机制。当 AppSync 检测到传入的令牌看起来像 Cognito 访问令牌时，它会优先尝试将其作为 Cognito 令牌验证，而不是传递给自定义的 Lambda 授权器。

解决方案

经过实践验证，以下方法可以有效解决这个问题：

1. 令牌前缀法：在发送访问令牌时，为其添加一个随机前缀

   authToken: `random ${user.accessToken}`
   

2. Lambda 端处理：在 Lambda 授权器中，需要先移除这个前缀，然后再处理真正的令牌

关键注意事项：

• 不能使用"Bearer "作为前缀，因为这是服务保留的关键字
• 前缀可以是任何非保留字符串，只要能让 AppSync 不将其识别为 Cognito 令牌即可

实现示例

完整的实现流程如下：

1. 前端获取并发送令牌：

const session = await fetchAuthSession();
const accessToken = session.tokens.accessToken.toString();
const documents = await client.graphql({
  query: listDocuments,
  authMode: 'lambda',
  authToken: `customprefix ${accessToken}`,
});

2. Lambda 授权器处理：

exports.handler = async (event) => {
  // 移除自定义前缀
  const rawToken = event.authorizationToken.replace('customprefix ', '');
  
  // 验证令牌逻辑...
  const isValid = verifyToken(rawToken);
  
  return {
    isAuthorized: isValid,
    // 其他响应字段...
  };
};

最佳实践建议

1. 令牌验证：在 Lambda 中实现完整的 JWT 验证逻辑，确保令牌有效性
2. 错误处理：为各种错误情况(如令牌过期、格式错误等)提供清晰的错误信息
3. 日志记录：在 Lambda 中添加详细的日志记录，便于调试和审计
4. 性能优化：考虑使用缓存机制存储已验证的令牌信息，减少重复验证开销

总结

通过这种添加前缀的方法，开发者可以绕过 AppSync 的自动识别机制，成功将 Cognito 访问令牌传递给自定义的 Lambda 授权器。这为实现复杂的授权逻辑提供了可能，同时也保持了系统的安全性和灵活性。在实际项目中，建议将此方案与完善的错误处理和日志记录结合使用，以构建健壮的授权系统。