AWS Amplify Events API 中使用 Lambda 授权模式的 JWT 认证问题解析

问题背景

在使用 AWS Amplify 的 Events API 时，开发者可能会遇到一个关于 Lambda 授权模式的认证问题。具体表现为：当尝试通过 authToken 参数传递 Supabase 提供的 JWT 令牌时，WebSocket 连接会失败并抛出"未指定认证令牌"的错误，尽管令牌确实存在且有效。

技术细节分析

这个问题涉及到 AWS AppSync 的 Events API 与 Amplify 客户端库的交互方式。AppSync 支持多种授权模式，包括 API 密钥、IAM、OpenID Connect (OIDC) 和 Lambda 授权。在本案例中，开发者选择了 Lambda 授权模式，希望通过自定义 Lambda 函数来验证 Supabase 的 JWT 令牌。

问题根源

经过深入分析，发现问题的核心在于 Amplify 客户端库在处理 Lambda 授权模式时的行为：

1. 当使用 defaultAuthMode: "lambda" 配置时，Amplify 客户端未能正确地将提供的 JWT 令牌附加到请求头中
2. 有趣的是，将授权模式改为 OIDC (defaultAuthMode: "oidc") 后，相同的令牌却能正常工作，尽管后端并未配置 OIDC 授权

解决方案

目前有两种可行的解决方案：

临时解决方案：使用 OIDC 授权模式

虽然看起来不合逻辑，但将配置中的 defaultAuthMode 从 lambda 改为 oidc 可以暂时解决问题。这是因为：

• OIDC 模式会正确地将 JWT 令牌附加到请求头中
• Lambda 授权函数仍然可以处理这个令牌，因为最终验证逻辑在 Lambda 中实现

官方修复方案

AWS Amplify 团队已经意识到这个问题，并在最新版本中提供了修复。开发者可以通过安装不稳定版本进行测试：

npm i aws-amplify@unstable

这个修复确保了在 Lambda 授权模式下，JWT 令牌能够被正确地传递给 AppSync 服务。

最佳实践建议

对于使用第三方认证服务（如 Supabase）的开发者，建议：

1. 理解 AppSync 对不同授权模式的请求头处理方式
2. 在 Lambda 授权函数中，可以灵活处理不同格式的令牌
3. 考虑在 Lambda 函数中添加日志，帮助诊断认证问题
4. 关注 Amplify 的更新，及时升级到包含修复的稳定版本

总结

AWS Amplify 与 AppSync 的集成提供了强大的实时通信能力，但在使用非标准认证方案时可能会遇到一些边界情况。通过理解底层机制和利用社区提供的解决方案，开发者可以构建出既安全又灵活的实时应用系统。