0
0
テーマ、知りたいこと
AWS上のSaaSサービス開発の認証
背景、状況
開発中のSaaSの認証をJWTを使ったトークン認証で実装したいです。
SaaSがAWSにデプロイすることが決定しているので、Cognitoでメアドとパスワードを利用した認証を開発中です。
質問内容
emailを利用した場合取得されるトークンのクレームにemailを含めず、RDSに事前に登録してあったユーザーの主キーを含めたいといった要件にはどのように対応しますか?
皆さんのご経験から構成やフローなどをお伺いしたいです。
※私自身、認証構成の草案を持っていないので、細かい要件度外視で「こんなのあるよ!」的な内容の相談をしたいです。
※cognitoを利用しない実装案もいただけましたら幸いです。
回答1件
#1
総合スコア7447
投稿2024/01/19 07:29
パッと思いついただけなので実現可能かどうかは要検証ですが
まず、トークンのクレームにRDSの主キーを含める方法について
考えられる方法として
- Cognitoとは別に認証APIを立てる
- Cognitoの属性情報に予め主キーを何らかの方法で登録しておく
のいずれかかなと思います。
RDSに登録しているとなると、仮に都度主キーを含めるならAWSのネットワーク内へのアクセスが原則必要となります。(パブリックにすることも可能ですが、弊害が大きすぎるので選択肢から除外します。)
CognitoのLambdaトリガーで取得する方法も考えられますが、パブリックなLambdaからプライベートなRDSへのアクセス方法を用意するのが面倒ですし、それだけのために毎回DBアクセスが発生するのも微妙だと思います。
トークンのクレームにemailを含めない方法は難しいです。
まず、emailはOIDC標準のクレーム群に含まれており、それを削除する方法は提供されていないようです。
そうなると独自で認証の仕組みを作るしかないと思います。
この要件は何が元となって生まれたのでしょうか?
それによっては別の対処法を考えることでどうにかできるかもしれません。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。