AWS Amplify 中 Cognito 用户池登录时遇到的 InvalidLambdaResponseException 问题解析

问题背景

在使用 AWS Amplify 进行用户认证时，开发者可能会遇到一个特殊场景：当尝试登录一个不存在的用户时，系统返回 InvalidLambdaResponseException: Invalid lambda function output : Invalid JSON 错误，而不是预期的"用户不存在"提示。

技术原理分析

这个问题的根源在于 Cognito 用户池的配置和 Lambda 触发器的交互机制。AWS Cognito 提供了多种 Lambda 触发器，可以在认证流程的不同阶段执行自定义逻辑。其中，Pre-authentication 触发器会在用户认证前执行。

当用户池启用了"防止用户存在错误"(PreventUserExistenceErrors)功能时，即使用户不存在，系统也会触发 Pre-authentication Lambda。如果此时 Lambda 没有正确处理这种情况，就会导致 JSON 格式的响应无效。

解决方案

推荐方案：完善 Pre-authentication Lambda

1. 修改 Lambda 代码：确保 Lambda 能够处理用户不存在的情况，返回有效的 JSON 响应
2. 错误处理：在 Lambda 中添加适当的错误处理逻辑，捕获并返回标准化的错误格式
3. 响应验证：确保 Lambda 的输出符合 Cognito 预期的 JSON 格式

不推荐方案：禁用 PreventUserExistenceErrors

虽然禁用此功能可以解决问题，但这会降低系统的安全性，可能暴露用户信息探测风险，使攻击者能够探测哪些用户存在于系统中。

最佳实践

1. 始终启用安全功能：保持 PreventUserExistenceErrors 为启用状态
2. 全面测试：测试 Lambda 对各种场景的响应，包括用户不存在的情况
3. 错误标准化：设计统一的错误响应格式，便于前端处理
4. 日志记录：在 Lambda 中添加适当的日志记录，便于问题排查

总结

AWS Amplify 与 Cognito 的集成提供了强大的认证功能，但在使用 Lambda 触发器时需要特别注意异常情况的处理。通过合理配置和编码，可以既保持系统安全性，又提供良好的用户体验。开发者应当优先考虑完善 Lambda 逻辑，而不是降低安全配置。

对于升级到 Amplify v6 的用户，更需要注意这些安全特性的变化，确保迁移过程中认证流程的完整性。