2025年AWS认证APIGateway与AmazonCognito用户池的集成专题试卷及解析.pdfVIP

2025年AWS认证APIGATEWAY与AMAZONCOGNITO用户池的集成专题试卷及解析1

2025年AWS认证APIGateway与AmazonCognito

用户池的集成专题试卷及解析

2025年AWS认证APIGateway与AmazonCognito用户池的集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在APIGateway与AmazonCognito用户池集成时，哪种授权方式最适合需要

精细控制API访问权限的场景？

A、AWS_IAM

B、COGNITO_USER_POOLS

C、NONE

D、CUSTOM

【答案】B

【解析】正确答案是B。COGNITO_USER_POOLS授权方式允许使用Cognito用

户池进行身份验证和授权，支持基于用户组的精细权限控制。A选项AWS_IAM更适合

服务间调用；C选项NONE表示无授权；D选项CUSTOM需要自定义Lambda函数实

现授权逻辑。知识点：APIGateway授权方式。易错点：混淆COGNITO_USER_POOLS

和AWS_IAM的使用场景。

2、当使用Cognito用户池保护APIGateway时，客户端必须如何传递身份验证信

息？

A、在请求头中包含XAPIKey

B、在请求体中包含用户名和密码

C、在请求头中包含BearerToken

D、在查询字符串中包含access_token

【答案】C

【解析】正确答案是C。Cognito用户池使用JWT(JSONWebToken)进行身份验

证，客户端需要在Authorization请求头中包含BearerToken。A选项是API密钥方

式；B选项不安全；D选项不符合OAuth2.0标准。知识点：JWT认证机制。易错点：

混淆不同认证方式的参数传递方式。

3、在Cognito用户池中，哪种触发器最适合在用户注册时执行自定义验证逻辑？

A、PreSignup

B、PostAuthentication

C、PreTokenGeneration

D、PostConfirmation

【答案】A

2025年AWS认证APIGATEWAY与AMAZONCOGNITO用户池的集成专题试卷及解析2

【解析】正确答案是A。PreSignup触发器在用户注册流程完成前触发，可以执行

自定义验证逻辑。B选项在认证后触发；C选项在生成令牌前触发；D选项在确认后触

发。知识点：Cognito触发器类型。易错点：混淆不同触发器的执行时机。

4、APIGateway与Cognito用户池集成时，如何配置才能让未认证用户也能访问

某些API端点？

A、在方法请求中设置Authorization为NONE

B、在集成请求中禁用Cognito授权

C、使用Lambda授权器

D、配置Cognito用户池的未认证访问角色

【答案】A

【解析】正确答案是A。在APIGateway的方法请求中设置Authorization为NONE

可以允许未认证访问。B选项不正确；C选项需要额外开发；D选项是针对AppSync

的配置。知识点：APIGateway授权配置。易错点：混淆不同服务的未认证访问配置方

式。

5、Cognito用户池中的”App客户端设置”中，“隐式流”和”授权码流”的主要区别是

什么？

A、隐式流更安全

B、授权码流需要客户端密钥

C、隐式流直接返回访问令牌

D、授权码流不支持刷新令牌

【答案】C

【解析】正确答案是C。隐式流直接返回访问令牌，而授权码流先返回授权码，再

用授权码换取令牌。A选项不正确；B选项是可选的；D选项支持刷新令牌。知识点：

OAuth2.0授权流程。易错点：混淆不同授权流程的特点。

6、在APIGateway中使用Cognito用户池授权时，如何实现基于用户组的访问控

制？

A、在Lambda授权器中检查用户组

B、在Cognito用户池中配置组权限

C、在APIGateway的