2025年AWS认证AppSync基于OIDC的第三方身份提供商集成专题试卷及解析.pdfVIP

2025年AWS认证APPSYNC基于OIDC的第三方身份提供商集成专题试卷及解析1

2025年AWS认证AppSync基于OIDC的第三方身份

提供商集成专题试卷及解析

2025年AWS认证AppSync基于OIDC的第三方身份提供商集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSAppSync中配置OIDC身份提供商时，必须提供的OIDC配置端点是

什么？

A、授权端点

B、令牌端点

C、发现文档端点

D、用户信息端点

【答案】C

【解析】正确答案是C。OIDC发现文档端点（/.wellknown/openidconfiguration）是

AppSync获取OIDC提供商完整配置的入口点。A、B、D端点虽然也是OIDC标准端

点，但都可以从发现文档中自动获取，不需要单独配置。知识点：OIDC发现机制。易

错点：误以为需要单独配置所有端点。

2、当使用第三方OIDC身份提供商时，AppSync如何验证JWT令牌的有效性？

A、通过调用身份提供商的令牌验证API

B、使用从发现文档获取的公钥验证签名

C、将令牌发送到AWSIAM进行验证

D、通过HTTPS请求验证令牌状态

【答案】B

【解析】正确答案是B。AppSync使用OIDC提供商的JWKS端点获取公钥，本地

验证JWT签名。A选项错误因为AppSync不会发起外部API调用验证。C选项错误

因为IAM不处理OIDC令牌验证。D选项错误因为令牌验证是本地进行的。知识点：

JWT验证机制。易错点：混淆令牌验证和令牌内省。

3、在AppSync解析器中，如何获取OIDC用户的身份信息？

A、通过$context.identity.sub

B、通过$context.identity.claims

C、通过$context.request.headers

D、通过$context.args

【答案】B

【解析】正确答案是B。$context.identity.claims包含JWT中的所有声明信息。A

选项只包含用户标识符。C选项包含原始请求头。D选项包含GraphQL参数。知识点：

AppSync上下文对象。易错点：误用identity子属性。

2025年AWS认证APPSYNC基于OIDC的第三方身份提供商集成专题试卷及解析2

4、配置OIDC身份提供商时，客户端ID应该设置为什么？

A、AppSyncAPI的ARN

B、身份提供商分配的应用ID

C、AWS账户ID

D、随机生成的UUID

【答案】B

【解析】正确答案是B。客户端ID是OIDC提供商分配给应用的唯一标识符。A、

C、D都不是OIDC标准要求的值。知识点：OIDC客户端注册。易错点：混淆AWS

资源标识符和OIDC客户端ID。

5、当OIDC令牌过期时，AppSync会返回什么错误？

A、401Unauthorized

B、403Forbidden

C、500InternalServerError

D、200OKwitherrorinbody

【答案】A

【解析】正确答案是A。过期令牌会导致认证失败，返回401错误。B表示权限不

足。C表示服务器错误。D不符合HTTP标准。知识点：HTTP状态码。易错点：混

淆认证和授权错误。

6、在AppSync中使用OIDC时，如何实现基于角色的访问控制？

A、在JWT中包含角色声明

B、使用AWSIAM角色

C、在AppSync中配置用户组

D、通过Lambda解析器实现

【答案】A

【解析】正确答案是A。通过在JWT中添加自定义角色声明，可以在解析器中实

现RBAC。B是AWS原生认证方式。C不适用于OIDC。D可以实现但不是标准做法。

知识点：基于声明的访问控制。易错点：过度依赖AWS原生机制。

7、OIDC身份提供商的发现文档必须包含什么端点？

A、令牌内省端点