AWS Cognito与自定义邮件服务集成：无需用户访问令牌的邮箱验证策略

Cognito的默认验证机制与自定义需求

AWS Cognito提供了一套完整的用户管理和认证解决方案，其中包括用户邮箱验证功能。在标准流程中，Cognito可以自行发送验证邮件（通过SES），用户点击邮件中的链接或在前端输入收到的验证码后，通常会通过Cognito SDK或API在用户已认证（拥有Access Token）的上下文中完成验证。例如，CognitoIdentityProvider.GetUserAttributeVerificationCode或VerifyUserAttribute等API都需要有效的用户访问令牌（Access Token）来操作。

然而，在某些场景下，开发者可能需要更高度的定制化：

1. 使用自定义邮件发送服务： 不使用Cognito内置的SES发送功能，而是通过Lambda触发器（Custom Message Lambda Trigger）调用第三方邮件服务发送验证邮件。
2. 自定义前端验证页面： 希望用户在前端的特定页面输入验证码或点击验证链接，并将验证逻辑交由后端处理，而不是直接通过Cognito SDK在前端完成验证。
3. 无用户访问令牌的后端验证： 在后端接收到验证码和用户信息后，需要在没有用户Access Token的情况下，以“管理员”权限完成邮箱验证。

在上述第三种情况下，Cognito并未直接提供一个API，允许后端仅凭用户名和验证码，在没有用户Access Token的情况下，以管理员身份验证用户邮箱。例如，AdminUpdateUserAttributes可以修改用户属性，但它并非用于验证码的校验。而像GetUserAttributeVerificationCode这样的API，其设计初衷是让已认证的用户请求或验证自己的属性，因此需要Access Token。

解决方案：后端自主管理验证码

鉴于Cognito在无用户访问令牌场景下，缺乏直接的验证码校验API，最实际且灵活的解决方案是：由后端系统自主生成、存储、发送和验证邮箱验证码。 一旦验证码在后端成功校验，再通过Cognito的管理员API更新用户邮箱的验证状态。

百宝箱

百宝箱是支付宝推出的一站式AI原生应用开发平台，无需任何代码基础，只需三步即可完成AI应用的创建与发布。

279

查看详情

实施步骤

1. 在Cognito Lambda Hook中生成并发送自定义验证码： 当用户注册或请求邮箱验证时，Cognito会触发Custom Message Lambda Trigger。在这个Lambda函数中，您可以：

   • 生成一个唯一、有时效性的验证码（例如，6位数字或字母数字组合）。
   • 将此验证码与用户ID（或用户名/邮箱）关联起来，并存储在您的后端数据存储中（如数据库、Redis等），并设置过期时间。
   • 通过您的自定义邮件发送服务，将包含此验证码的验证链接或直接的验证码发送给用户。验证链接通常指向您前端的验证页面，并包含验证码和用户标识符（如邮箱）。

     // 示例：Custom Message Lambda Trigger 中的概念代码
     const generateVerificationCode = () => {
     // 生成一个随机的6位数字验证码
     return Math.floor(100000 + Math.random() * 900000).toString();
     };

     登录后复制

   exports.handler = async (event) => { if (event.triggerSource === 'CustomMessage_SignUp' || event.triggerSource === 'CustomMessage_ResendCode') { const username = event.userName; const email = event.request.userAttributes.email; const verificationCode = generateVerificationCode();

       // TODO: 将 verificationCode 存储到您的数据库/Redis中，并关联到 username/email，设置过期时间
       console.log(`Generated code for ${email}: ${verificationCode}`);
   
       // 构建验证链接，发送给用户
       const verificationLink = `https://my-frontend.com/verify-email?code=${verificationCode}&email=${encodeURIComponent(email)}`;
   
       // TODO: 调用您的自定义邮件服务发送邮件，邮件内容包含 verificationLink 或 verificationCode
       event.response.emailMessage = `您的验证码是：${verificationCode}。或者点击链接验证：${verificationLink}`;
       event.response.emailSubject = '请验证您的邮箱';
   }
   return event;

   登录后复制

   };

   登录后复制

2. 前端接收并提交验证信息： 用户收到邮件后，通过点击链接或手动输入验证码，前端将验证码和用户标识（如邮箱或用户名）发送到您的后端API接口。

3. 后端验证并更新Cognito用户状态： 您的后端API接收到验证请求后：

   • 从您的数据存储中检索与用户关联的存储验证码。
   • 比较前端提交的验证码与存储的验证码是否匹配，并检查验证码是否已过期或已被使用。
   • 如果验证成功，则调用AWS SDK的CognitoIdentityProvider.adminUpdateUserAttributes API，将用户的email_verified属性设置为true。

   const AWS = require('aws-sdk');
   const cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider();
   
   /**
    * 在后端验证自定义验证码，并在Cognito中标记邮箱为已验证。
    * @param {string} userPoolId Cognito用户池ID
    * @param {string} username Cognito用户名 (通常是邮箱或用户ID)
    * @param {string} submittedCode 用户提交的验证码
    */
   async function verifyEmailAndMarkAsVerified(userPoolId, username, submittedCode) {
       // 步骤1: 从您的数据库/Redis中获取存储的验证码
       // 假设您有一个函数来获取存储的验证码和其过期时间
       // const storedVerificationData = await getStoredCodeFromDB(username);
       // if (!storedVerificationData || storedVerificationData.code !== submittedCode || isExpired(storedVerificationData.expiryTime)) {
       //     throw new Error('Invalid or expired verification code.');
       // }
   
       // 实际应用中，这里会进行数据库查询和验证码匹配逻辑
       console.log(`Verifying code for ${username}...`);
       // 模拟验证成功
       const verificationSuccessful = true; // 替换为实际的验证逻辑
   
       if (verificationSuccessful) {
           const params = {
               UserAttributes: [{
                   Name: 'email_verified',
                   Value: 'true'
               }],
               UserPoolId: userPoolId,
               Username: username
           };
   
           try {
               await cognitoidentityserviceprovider.adminUpdateUserAttributes(params).promise();
               console.log(`User ${username} email marked as verified in Cognito.`);
               // TODO: 从数据库中删除或标记已使用的验证码
           } catch (error) {
               console.error(`Error updating user attributes for ${username}:`, error);
               throw error;
           }
       } else {
           throw new Error('Verification code mismatch or other validation error.');
       }
   }
   
   // 示例后端API路由调用 (Node.js Express 框架概念)
   // app.post('/api/verify-email', async (req, res) => {
   //     const { email, code } = req.body;
   //     const userPoolId = 'YOUR_COGNITO_USER_POOL_ID'; // 从环境变量或配置中获取
   //     try {
   //         // 需要根据email找到Cognito的username，如果username不是email本身
   //         // 假设username就是email
   //         await verifyEmailAndMarkAsVerified(userPoolId, email, code);
   //         res.status(200).json({ message: 'Email verified successfully.' });
   //     } catch (error) {
   //         res.status(400).json({ error: error.message });
   //     }
   // });

   登录后复制

注意事项与最佳实践

• 验证码安全性：
  • 随机性与长度： 确保生成的验证码足够随机且长度适中，难以被猜测或暴力破解。
  • 时效性： 为验证码设置合理的过期时间（例如5-15分钟），过期后即失效。
  • 单次使用： 验证码一旦成功使用，应立即失效，防止重复使用。
  • 防暴力破解： 在后端实现对验证尝试次数的限制，例如在一定时间内，针对同一用户或IP地址的验证失败次数达到阈值后，暂时锁定或增加验证难度。
• 数据存储：
  • 选择可靠且访问速度快的数据存储方案来保存验证码，例如Redis（用于缓存和过期管理）或数据库（如DynamoDB、PostgreSQL）。
  • 确保存储的验证码与用户正确关联，并且能够高效检索。
• 错误处理：
  • 清晰地向前端返回验证失败的原因，例如“验证码无效”、“验证码已过期”或“系统错误”。
• 用户体验：
  • 提供重新发送验证码的选项，但要限制重新发送的频率，以防止滥用。

总结

尽管AWS Cognito在集成自定义邮件服务时，并未提供直接的“管理员”API来验证其自身生成的验证码而无需用户访问令牌，但通过在后端自主管理验证码流程，我们依然能够实现高度定制化的邮箱验证功能。这种方法涉及在Lambda Hook中生成并存储验证码，通过自定义邮件服务发送，并在后端接收用户提交的验证码后进行校验，最终通过AdminUpdateUserAttributes更新Cognito中用户的邮箱验证状态。这不仅解决了特定场景下的技术难题，也为应用程序带来了更大的灵活性和控制力。

以上就是AWS Cognito与自定义邮件服务集成：无需用户访问令牌的邮箱验证策略的详细内容，更多请关注php中文网其它相关文章！