问AWS中使用STS或Cognito认证移动用户的区别是什么？

EN

首先，理解认知包括两个相关的服务，用户池和标识池。

简而言之，用户池是一个包含所有细节的用户数据库: auth、MFA、groups、password重置等等。它允许用户提供用户名和密码，如果它们是有效的，则给出一个令牌来证明他们是真正的用户。它提供身份验证。

id池从用户映射到AWS凭据。为了映射到AWS凭据，它需要用户的一些概念，这必须由某人提供。这可以是用户池，也可以是第三方。无论如何，只有当您有某种用户令牌时才可以使用id池，然后您可以使用它来询问id池：“给我这个用户可能使用的凭据(如果有的话)”。id池提供了针对AWS服务的授权所需的凭据。

在对移动应用程序的移动用户进行身份验证方面，STS和Cognito有什么区别和用例？

考虑路径user login -A-> user auth token -B-> aws credentials。

1. STS只提供临时凭据。STS没有用户的概念，它只知道调用方是否有访问凭据的权限，以及这些凭据是什么。“对于身份验证的用户”意味着只有只由处理所有身份验证，然后调用获取凭据以授予这些用户。它既不满足箭头A，也不满足箭头B。
2. 认知用户池实现了上面的箭头A。
3. 认知id池实现了上面的箭头B。

如果您想同时执行箭头A和箭头B，可以使用STS作为解决方案的一部分。

如果您想自己做箭头A，可以使用id池来处理箭头B (id池实际上在后端使用STS )。您将告诉id池将处理箭头A (例如Facebook)的身份提供者，然后您将处理让Facebook为您验证用户身份的逻辑。您将获取用户获取的Facebook令牌，并将其传递给id池以获取凭据。

如果希望完成最少的工作量，可以使用用户池来处理箭头A，使用id池来处理箭头B。您仍然可以在用户池下面使用第三方auth提供者(例如Facebook)，但是您可以将id池指向用户池，将用户池指向第三方。然后，用户池为您处理部件A的所有逻辑(您编写了零的Facebook代码)。