Category: Front-End Web & Mobile

目前，越来越多的Iot厂商会开发自己的APP，使得终端用户可以通过APP绑定自己的设备，检测自己设备的实时情况，并且对设备做即时的控制。在此场景下，Mobile端的终端用户应该只能发布消息到自己的设备。用户和设备的关系可能是一对多或者多对多,比如同一个user拥有多个设备，用户A只能发布消息到/userA/deviceX的topic中；多个设备可能受同时受多人控制，此时用户B和C都有权限发布消息到/device2/temp下。本文考虑到此两种场景并做展开，利用Cognito和AWS Iot Core，实现终端对设备的精细化控制权限管理。

客户采用微服务的方式构建应用系统，此处假设使用多套 API Gateway + Lambda构建，并且使用了Cogito User Pool。 Cognito User Pool 中不同group的用户可以访问不同的微服务。如果用户同时属于多个group，则用户可以访问多套环境。

大多数移动应用或者 Web 应用都有自己的用户身份认证体系。用户的身份信息存储在应用的自有数据库中, API Gateway定义的不同的资源操作，需要根据应用的用户身份判断是否允许该用户访问这些不同的操作. 例如，一个 bookstore app, 资源URI有/books, /books/{usesrid}, 具体的操作有/books/get, books/{userid}/get, books/{userid}/post等等。 在这个应用中，如果用户的身份为admin，则该用户可以执行所有操作。对于身份为user的用户，则只能访问 /books/{userid}下的所有操作。对于这样的基于用户身份进行API级别的权限控制需求，需要通过自定义授权函数，通过应用的身份认证系统获取用户身份，基于用户身份以及当前执行的操作相结合，在自定义授权函数中判断用户是否有权限执行操作，并构建相应的权限策略返回给 API Gateway。

在本篇中，我们将最终完成Android客户端，实现授权并访问AWS资源。

在这一篇中，我们将具体实现对接微信开放平台验证微信用户的业务逻辑。

这一篇中我们将介绍如何创建API Gateway中的API， Lambda函数如何处理来自API Gateway的输入参数、响应给API的返回结果，以及实现Lambda函数和API的集成。

这一篇中我们将要介绍Eclipse配置Lambda开发环境，使用AWS Toolkit开始动手开发Java的Lambda函数。

Amazon Cognito 为我们的 Web 和移动应用程序提供身份验证、授权和用户管理，借助它可以实现第三方 (如 Facebook、Amazon 或 Google) 登录，从而便利了开发者使用主流社交网站的登录体系实现用户登录。
Amazon Cognito 已经于2017年11月在由光环新网运营的 AWS 中国（北京）区域发布，AWS 官方尚未支持使用的微信登录，我们通过以下系列文章为大家介绍通过 Amazon Cognito 的开发人员验证的身份来变通实现微信登录。

1.  背景介绍 Amazon API Gateway 是一种完全托管的服务，可以帮助开发者轻松创建、发布、维 […]