让用户使用第三方账号（如亚马逊账号）接入AWS IoT系统

我们想象这么一个IoT应用场景：厂商A使用AWS IoT来开发物联网解决方案，那么A把设备卖给用户的时候，需要使用户能够登入AWS IoT系统来控制其购买的A的设备，也就是说给用户分配适当的权限。下面本文简要概括讨论如何实现这样一个场景。

部分细节可以参考这个博客：https://blog.csdn.net/luo_bo1/article/details/84567988

 

1. 用户身份的管理

首先，用户必须有一个独特的身份在这个系统中。事实上，开发者甚至不需要自己维护一个管理身份的服务器，用户也不愿意注册那么多账号。为解决这个问题，便产生了直接使用第三方账号身份来映射到AWS IoT系统中的方法，也就是说，用户只要有一些公共的第三方身份提供商的账号（如谷歌、亚马逊等），便允许直接使用AWS IoT系统。本文使用了Login with Amazon这个第三方服务，厂商只要根据Login with Amazon的文档实现一个接口即可。主要有如下几步：

（1） 在developer.amazon.com后台注册一个OAuth的客户端，还要提供隐私策略，获得一个亚马逊发放的OAuth ClietID和Client Secret，这样亚马逊才能认证这是哪个开发者想获得用户的信息。在用户授权后，即可向亚马逊获得用户的基本身份信息。

（2）本人是用Web实现的，因此需要设置OAuth过程中需要的回调URL，并且把这个URL加入Login with Amazon的白名单。此外，还要在Web setting中设置Allow origin。在调用亚马逊这个接口时，亚马逊会验证ClientId，web URL来认证开发者的身份，并且有了origin也能防止这是别人在冒用你的ClientID（用户点击login with amazon的时候浏览器会携带origin发给亚马逊，尽管这个有时可以伪造）；用户授权后，结果token会以重定向的方式让用户浏览器访问白名单中存在的回调URL，这样就确保只有开发者的服务器可以获得token，防止别人偷取。

（3）开发者获得了用户的token，就可以查询获得用户在Amazon的 信息，进而获得到一个唯一的用户ID。这个ID应该是唯一匿名化的身份标识，即不会泄露用户的信息，不同Client获得的也不一样，防止用户被追踪。

 

2. 给对应用户分配适当的权限

现在我们获得了用户的身份，但是用户要访问的是AWS IoT中的资源，如何设置才能将AWS中的权限，关联至第三方身份提供商给的身份呢？这就需要AWS Cognito的Identity Pool出马了。

（1）首先，cognito需要验证用户的身份，然后在Identity Pool中创建一个对应的身份映射。这首先需要在cognito的Identity Pool中设置Authentication providers，添加开发者创建的login with amazon的标识，即Amazon App ID。这样，开发者只要给cognito结点发送获得到的用户token，cognito就可以与身份提供商交互来验证该token是否有效；若有效，会创建一个cognito ID来标识该第三方身份的用户，这个cognito ID与该用户的第三方身份应该是绑定的。

（2）开发者获得用户第三方token后，向cognito发送该token，就表明了该用户身份，cognito会再返回给程序一系列cognito的token。由于用户cognito就是AWS自己的服务，所以可以关联AWS IoT中的权限给该用户使用。具体动态关联的方法没有深究，只是用aws cli简单测试实现，正确动态做法可以参考官方PPT：https://www.slideshare.net/AmazonWebServices/iot-apps-with-aws-iot-and-websockets

aws cli使用需要先设置， 可以参考https://razeencheng.com/post/tool-awscli-overview-1

指令有点坑，记录一下：

aws iot  attach-policy --policy-name  --target 

 

（3）最后强调一点，策略设置时要注意权限的控制，AWS提供了策略变量来获得用户特有的不变凭证，参考https://blog.csdn.net/luo_bo1/article/details/84567988即可。另外设置的时候有点坑，既要设置认证过cognito用户的粗粒度权限，又要在AWS IoT中设置细粒度的权限并且关联到cognito用户上。

 

3.附录JS代码

注：必须自己搭建个web服务器来测试，否则由于浏览器安全限制（好像是专门本地的文件）无法使用亚马逊的js API。推荐XAMPP，起名成html直接放到htdoc下就好了，xampp还直接支持https。

 1 
 2 
 3 
 4 
 5     
 6 
 7 
 8 
 9     
10         11             src="https://images-na.ssl-images-amazon.com/images/G/01/lwa/btnLWA_gold_156x32.png" width="156"
12             height="32" />
13     
14     Myfunction
15 
16     

17     
29 
30     
38 
39     
68 
69 
70 

View Code

 

转载于:https://www.cnblogs.com/ascii0x03/p/10842286.html