这是一个部分问题,部分回答了我努力解决的一些问题。问题在底部。
我想使用Cognito直接从浏览器上传文件到S3。它适用于未经身份验证的用户,但随后每个用户都可以访问相同的存储桶或至少相同的文件夹。我希望每个用户只能访问他们的文件夹。
经过3天的敲击,我能够让Cognito在一个紧凑的php文件中使用JavaScript和PHP来使用自定义Developer Authenticated Identities。
在服务器上,我使用getOpenIdTokenForDeveloperIdentity接收IdentityId和Token用户名johnsmith。
然后我立即将id和令牌呈现给客户端以对其进行身份验证并将文件上传到S3:
<!-- BEGIN SERVER SIDE -->
<?php
session_start();
//Include AWS client libs
require ('vendor/autoload.php');
use Aws\CognitoIdentity\CognitoIdentityClient;
use Aws\Sts\StsClient;
/* Global Vars */
$aws_region = 'us-east-1';
$aws_key = 'JF4L3ELC4CAVQV4VAKIA';
$aws_secret = 'OKfoWZ91qZHBhIBzDZLINzHVs9Ymaxi689Ym3vT8';
$identity_pool_id = 'us-east-1:83024a7c-438e-aa29-8bac-ff6717d73ec5';
//Initialize a Cognito Identity Client using the Factory
$client = CognitoIdentityClient::factory(array('region' => $aws_region, 'key' => $aws_key, 'secret' => $aws_secret));
/* Acquire new Identity */
$identity = $client->getOpenIdTokenForDeveloperIdentity(array('IdentityPoolId' => $identity_pool_id, 'Logins' => array('my-custom-login' => 'johnsmith')));
//Obtain Identity from response data structure
$id = $identity->get('IdentityId');
$token = $identity->get('Token');
print_r($identity);
// Results in:
// [IdentityId] => us-east-1:c4db3eca-6ed0-af08-4aaa-a33aee2e994a
// [Token] => eyJraWQiOiJ1cy1lYXN0LTExIiwidHlwIjoiSldTIiwiYWxnIjoiUlM1MTIifQ.eyJzd...
?>
<!-- BEGIN CLIENT SIDE -->
<script src="https://sdk.amazonaws.com/js/aws-sdk-2.436.0.min.js"></script>
<script>
var bucketName = 'mybucket';
//Get CognitoIdentityCredentials
AWS.config.region = 'us-east-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityId: '<?php echo $id; ?>',
IdentityPoolId: '<?php echo $identity_pool_id; ?>',
Logins: {
//'my-custom-login':'johnsmith', //This does not work. It throws Error 400: Please provide a valid public provider.
'cognito-identity.amazonaws.com':'<?php echo $token; ?>'
}
});
//S3 Upload
var s3 = new AWS.S3({
//region: 'us-east-1', //Bucket region - not required if same as AWS.config.region
apiVersion: '2006-03-01',
params: {Bucket: bucketName}
});
//Refresh and Upload
AWS.config.credentials.refresh(function(){
var IdentityId = s3.config.credentials.params.IdentityId;
var keyName = "cognito/"+IdentityId+"/it_works.txt";
var params = {Bucket: bucketName, Key: keyName, Body: 'Hello World!'};
s3.putObject(params, function (err, data) {
if (err)
console.log(err)
else
console.log("Successfully uploaded data to " + bucketName + "/" + keyName);
});
});
//Console: Successfully uploaded data to mybucket/cognito/us-east-1:c4db3eca-6ed0-af08-4aaa-a33aee2e994a/it_works.txt);
</script>
我的IAM权限策略是借用from here,看起来像这样:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket"],
"Condition": {"StringLike": {"s3:prefix": ["${cognito-identity.amazonaws.com:sub}/*"]}}
},
{
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::mybucket/${cognito-identity.amazonaws.com:sub}/*"]
}
]
}
这一切都很好,并在mybucket/cognito/us-east-1:c4db3eca-6ed0-af08-4aaa-a33aee2e994a/it_works.txt上传文件
我想要的是设置一个以用户名johnsmith命名的自定义子文件夹。
有没有办法将用户名作为变量传递给IAM角色权限,以便它能够上传到mybucket/cognito/johnsmith/而不是这个丑陋的长mybucket/cognito/us-east-1:c4db3eca-6ed0-af08-4aaa-a33aee2e994a/?
那些IdentityIds太长而且难以处理。我想我也必须在我的数据库中保存IdentityId?
令牌中的信息是“可解码的”还是仅仅是安全散列。我注意到当我只刷新它的后半部分时会发生变化,当我更改用户名时,整个令牌会发生变化。
请告诉我如何使用Cognito设置自定义子文件夹而不是IdentityId ${cognito-identity.amazonaws.com:sub}我发现this article显示您可以使用${aws:username}/*但是如何将用户名传递给OpenID令牌或其他地方?
不幸的是,这是不可能的。您看到的用户名变量仅适用于IAM用户名。 IAM策略无法从cognito用户池中读取任何内容。您看到的子变量与用户池中显示的子变量完全不同。该子实际上来自身份池,它没有任何用户名。也许AWS将来会允许这样做,但目前这是不可能的。
但是,您可以在创建应用程序时将其隐藏起来。如果您通过控制台登录,则只会在存储桶路径中看到此大的子变量。我已经构建了一个类似的应用程序,我只是向用户显示此变量中的所有内容,就好像它是它们的根文件夹
用户名没有IAM政策变量,但是如果你想付出一些努力,我认为你可以做一些工作。
mybucket/username/sub的文件夹例如:
Resource": ["arn:aws:s3:::mybucket/*/${cognito-identity.amazonaws.com:sub}/*"]
您仍然可以将sub作为文件夹名称,但它将位于用户名文件夹下,因此浏览文件夹会很容易。