Desencadenador de Lambda Antes de la autenticación - Amazon Cognito
Información general sobre flujosParámetrosEjemplo: bloqueo de un cliente de aplicación

Desencadenador de Lambda Antes de la autenticación

Amazon Cognito invoca a este desencadenador cuando un usuario intenta iniciar sesión, lo que le permite crear una validación personalizada que realiza acciones preparatorias. Por ejemplo, puede denegar la solicitud de autenticación o registrar los datos de sesión en un sistema externo.

nota

Este desencadenador de Lambda no se activa cuando un usuario no existe, a menos que el ajuste PreventUserExistenceErrors de un cliente de aplicación en un grupo de usuarios se haya establecido en ENABLED. La renovación de una sesión de autenticación existente tampoco activa este desencadenador.

Información general sobre flujos

Desencadenador de Lambda de preautenticación: flujo del cliente

La solicitud contiene datos de validación del cliente de los valores ClientMetadata transferidos por la aplicación a las operaciones de la API InitiateAuth y AdminInitiateAuth del grupo de usuarios.

Para obtener más información, consulte Un ejemplo de sesión de autenticación.

Parámetros del desencadenador de Lambda de preautenticación

La solicitud que Amazon Cognito envía a esta función de Lambda es una combinación de los parámetros que se indican a continuación y los parámetros comunes que Amazon Cognito agrega a todas las solicitudes.

JSON
{
    "request": {
        "userAttributes": {
            "string": "string",
            . . .
        },
        "validationData": {
            "string": "string",
            . . .
        },
        "userNotFound": boolean
    },
    "response": {}
}

Parámetros de la solicitud Antes de la autenticación

userAttributes

Uno o varios pares de nombre-valor que representan atributos de usuario.

userNotFound

Al establecer PreventUserExistenceErrors en ENABLED para el cliente del grupo de usuarios, Amazon Cognito rellena este booleano.

validationData

Uno o varios pares de clave-valor que contienen los datos de validación de la solicitud de inicio de sesión del usuario. Puede transferir estos datos a la función de Lambda mediante el parámetro ClientMetadata en las acciones de la API InitiateAuth y AdminInitiateAuth.

Parámetros de la respuesta Antes de la autenticación

Amazon Cognito no procesa ninguna información adicional que su función devuelva en la respuesta. La función puede devolver un error para rechazar el intento de inicio de sesión o utilizar operaciones de la API para consultar y modificar los recursos.

Ejemplo invocación Antes de la autenticación

Esta función de ejemplo impide que los usuarios inicien sesión en el grupo de usuarios con un cliente de aplicación específico. Como la función de Lambda de autenticación previa no se invoca cuando el usuario tiene una sesión existente, esta función solo impide sesiones nuevas con el ID de cliente de la aplicación que desea bloquear.

Node.js
const handler = async (event) => {
  if (
    event.callerContext.clientId === "user-pool-app-client-id-to-be-blocked"
  ) {
    throw new Error("Cannot authenticate users from this user pool app client");
  }

  return event;
};

export { handler };
Python
def lambda_handler(event, context):
    if event['callerContext']['clientId'] == "<user pool app client id to be blocked>":
        raise Exception("Cannot authenticate users from this user pool app client")

    # Return to Amazon Cognito
    return event

Amazon Cognito transfiere la información del evento a la función de Lambda. A continuación, la función devuelve el mismo objeto de evento a Amazon Cognito con los cambios en la respuesta. En la consola de Lambda puede configurar un evento de prueba con los datos relevantes para el desencadenador de Lambda. El siguiente es un evento de prueba para este código de ejemplo:

JSON
{
    "callerContext": {
        "clientId": "<user pool app client id to be blocked>"
    },
    "response": {}
}