您可以使用具有与id令牌相同的授权者的访问令牌，但在用户池和APIG中还需要进行一些额外的设置。

即使完成了这个额外的设置，您也不能将内置的授权器测试功能与访问令牌一起使用，而只能使用ID令牌。来自AWS的典型80%解决方案！

要使用访问令牌，您需要在App Integration -> Resource Servers下的用户池中设置资源服务器，使用什么并不重要，但我假设您使用<site>.com作为标识符，并且您有一个名为api的作用域。

否转到APIG中的方法并输入该方法的Method Request。假设已经设置了使用id标记测试的授权器，然后将<site>.com/api添加到Settings -> OAuth Scopes部分。

只需添加OAuth作用域，就可以确保令牌现在必须是访问令牌，而不再接受ID令牌。

详细说明如下：https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-enable-cognito-user-pool.html

对于那些正在寻找答案但没有使用OAuth并使用无服务器框架进行部署的人：

让APGW接受accesToken的有效方法是修改我的serverless.yml文件，如下所示：

functions:
  my-function:
    handler: path to source file
    events:
      - http:
          path: my-function
          method: post
          cors: true
          authorizer:
            type: COGNITO_USER_POOLS
            scopes:
              - YOUR SCOPE HERE <- THIS IS THE TRICK
            authorizerId:
              Ref: ApiGatewayAuthorizer

可以通过读取访问令牌的内容(通过将令牌粘贴到https://jwt.io/调试器中)找到作用域的值。

可以，API网关只会使用idToken进行授权。

用户输入正确的凭据后，身份提供者会提供访问代码，授权用户输入正确的凭据，客户端使用此访问代码只是为了从/oauth2/token终结点获取该给定用户的idToken和renhToken。您的所有进一步调用都将只在Authorization头中使用idToken。

即使该访问代码在您检索用户令牌后也会过期。

如果有人对如何在CDK中实现这一点感到好奇，下面是我如何成功地创建了一个API，该API接受一个auth令牌作为Authorization头的一部分。上面有一些关于它如何在概念上工作的好信息。由于不可避免地缺少AWS CDK文档，我通过查找Map到上面提到的概念的构造并迭代地将正确的构造添加到API和用户池中，找到了CDK的方法。

创建用户池

const userPool = new cognito.UserPool(this, "****");

创建资源服务器和作用域。稍后为API方法分配自定义作用域时，这些作用域将非常重要。标识符-AWS建议使用域名

const apiScope = new cognito.ResourceServerScope({
  scopeName: '**',
  scopeDescription: '**'
});

const userServer = userPool.addResourceServer('**', {
  identifier: props.subdomain,
  scopes: [apiScope]
});

创建托管的UI域。用户将登录到托管的用户界面以获得在认证码身份验证流中使用的认证码，并接收ID/访问令牌。

userPool.addDomain('**', {
  cognitoDomain: {
    domainPrefix: '**',
  },
});

创建客户端，配置所需的授权流，并分配您希望允许用户使用的OAuth作用域。

const userPoolClient = userPool.addClient('**', {
  authFlows: {
    adminUserPassword: true
  },
  supportedIdentityProviders: [
    cognito.UserPoolClientIdentityProvider.COGNITO
  ],
  oAuth: {
    flows: {
      authorizationCodeGrant: true,
      implicitCodeGrant: true
    },
    scopes: [
      cognito.OAuthScope.resourceServer(userServer, apiScope),
      cognito.OAuthScope.OPENID,
      cognito.OAuthScope.COGNITO_ADMIN
    ]
  },
  refreshTokenValidity: Duration.days(10)
});

此时，您可以在AWS控制台的用户池->用户池名称>应用集成->应用客户端列表->应用客户端名称>托管用户界面->自定义作用域下部署应用程序并查看作用域。作用域是资源服务器ID和作用域名称的组合。

为用户池创建Cognito用户池授权器

const authorizer = new apigateway.CognitoUserPoolsAuthorizer(this, '**', {
  cognitoUserPools: [userPool]
});

将授权器添加到您的API的适当方法。确保添加正确的授权作用域。

const api = new apigateway.RestApi(this, '***', {
  ...options
});
const resource = api.root.addResource('resource');

resource.addMethod('POST', integration, {
  authorizer,
  authorizationScopes: [
    <scope names>
  ]
});

添加正确的授权作用域是至关重要的，这也是我一度陷入困境的地方。这需要与上面创建的至少一个自定义资源服务器作用域匹配。