我想集成一个非常标准的功能：给用户（移动和网络）选项以使用RBAC的电子邮件/密码或Facebook（google）帐户登录（不同的用户可能具有不同的角色，例如用户，主持人，管理员，创建者等）。这基本上就是我想要登录的内容：

我阅读了许多AWS教程和其他材料。我对如何实现它有所了解，但是我仍然没有一个完整的画面。希望有人可以在这里帮助我。

这是我目前的理解（请在错误之处纠正我）。

1）对于电子邮件/密码注册/登录，我使用用户池。当用户登录时，我调用authenticateUser（我使用的是JS SDK）：

cognitoUser.authenticateUser(authenticationDetails, {
..
})

哪里成功

• 我存储身份，访问和刷新令牌，因此用户不必每次都输入其凭据
• 因为用户将访问AWS服务（例如S3），所以我将idToken交换为AWS凭证
• 访问资源时，将AWS凭证存储在LocalStore中以供进一步使用

2）对于Facebook登录，我使用联合身份

• 获取一个Facebook访问令牌
• 使用fb令牌获得认知身份
• 与AWS凭证交换认知身份并将其存储在LocalStore中

问题：

Q1。注册/登录逻辑是否有效且相当完整？我想念什么吗？

Q2。我应该如何存储Facebook用户？我可以在用户池中这样做吗？我觉得这是不可能的，但这意味着我有2个不同的用户目录：一个在UserPool中，另一个在另一个地方（在DynamoDB中说）

Q3。如果我必须将用户存储在不同的位置（UserPool和DynamoDB），这意味着我实际上有2个用户，其中一个用户首先注册了电子邮件/密码，然后决定使用facebook-这对于我作为应用程序管理员和用户来说都是不便的。如何处理这种情况？

Q4。如何为使用Facebook令牌登录的用户（如用户，主持人，管理员，创建者等）管理群组？

Q5。对于Facebook登录用户，我应如何限制对AWS以外资源的访问？

Q6。有什么可行的例子吗？

谢谢！