AWS Amplify Events API 中 Lambda 授权模式的 JWT 令牌传递问题解析

问题背景

在使用 AWS Amplify 的 Events API 与 AppSync 服务集成时，开发者遇到了一个关于 Lambda 授权模式的典型问题。当尝试通过 Supabase 提供的 JWT 令牌进行身份验证时，尽管正确配置了 authToken 参数，系统仍抛出"未指定认证令牌"的错误。

技术场景分析

标准配置方式

按照官方文档的标准配置，开发者通常会这样设置 Amplify：

Amplify.configure({
    API: {
        Events: {
            endpoint: "https://example.appsync-api.us-east-1.amazonaws.com/event",
            region: "us-east-1",
            defaultAuthMode: "lambda",
        },
    },
});

然后尝试通过以下方式建立 WebSocket 连接：

const channel = await events.connect('/test/channel', {
    authToken: "SUPABASE_JWT_TOKEN"
});

问题现象

这种配置下，系统会抛出错误："No auth token specified"，尽管令牌确实已经正确传递。有趣的是，同样的令牌通过 curl 命令直接调用 API 却能正常工作：

curl --location "https://example.appsync-api.us-east-1.amazonaws.com/event" \
--header 'Content-Type: application/json' \
--header "Authorization:SUPABASE_JWT_TOKEN" \
--data '{
    "channel":"/default",
    "events":["\"Breaking news!\""]
}'

深入技术分析

授权模式差异

经过深入排查，开发者发现将 defaultAuthMode 从 "lambda" 改为 "oidc" 后问题得到解决。这一现象揭示了 Amplify 客户端在处理不同授权模式时的内部差异：

1. Lambda 授权模式：期望令牌以特定格式传递，可能需要在令牌前后添加特定前缀/后缀
2. OIDC 授权模式：对令牌格式要求较为宽松，直接传递原始 JWT 即可

技术原理

AppSync 的 Lambda 授权模式下，服务期望收到的 Authorization 头部格式为：

Authorization: <自定义前缀><JWT><自定义后缀>

而 Amplify 客户端在 Lambda 模式下可能没有正确处理这种格式要求，导致令牌传递失败。相比之下，OIDC 模式只需要标准的 Bearer 令牌格式：

Authorization: Bearer <JWT>

解决方案与实践建议

临时解决方案

目前可行的临时解决方案是：

Amplify.configure({
    API: {
        Events: {
            endpoint: "https://example.appsync-api.us-east-1.amazonaws.com/event",
            region: "us-east-1",
            defaultAuthMode: "oidc", // 使用 OIDC 模式而非 Lambda
        },
    },
});

最佳实践建议

1. 令牌提供者模式：实现 TokenProvider 接口来管理令牌获取和刷新
2. Lambda 授权处理：在后端 Lambda 中做好令牌验证的同时，处理可能的格式转换
3. 等待官方修复：AWS 团队已注意到此问题并在 unstable 版本中提供了修复

技术深度解析

WebSocket 连接建立过程

理解这个问题需要了解 Amplify 建立 WebSocket 连接的内部流程：

1. 客户端发起连接请求
2. Amplify 根据配置的授权模式构造请求头
3. 对于 Lambda 模式，可能错误地处理了令牌格式
4. 服务端收到格式不符合预期的请求，返回认证错误

令牌验证流程对比

Lambda 模式：

• 客户端 → 错误格式令牌 → AppSync → Lambda 验证失败

OIDC 模式：

• 客户端 → 标准 JWT → AppSync → 直接验证通过

未来展望

AWS Amplify 团队已经在 unstable 版本中修复了这个问题，预计在下一个稳定版发布。对于生产环境，建议：

1. 暂时使用 OIDC 模式作为过渡方案
2. 密切关注官方更新日志
3. 升级到包含修复的版本后，可以安全切换回 Lambda 模式

这个问题揭示了 AWS 服务间集成的复杂性，特别是在处理不同认证协议和令牌格式时的微妙差异。开发者需要深入理解各组件的工作原理，才能有效解决这类看似简单但实际复杂的问题。