AWS ALB + Cognito 实现零代码身份认证（完整实战）

利用 ALB 内置的认证功能 + Amazon Cognito，为任意 Web 应用添加登录保护，应用本身无需写一行认证代码。适用于内部文档站、管理后台、API 网关等场景。

前言

很多内部系统需要登录保护，但改造应用代码接入认证体系成本高、周期长。AWS ALB 原生支持 Cognito/OIDC 认证，可以在网络层直接拦截未认证请求，实现：

• ✅ 应用零改造，纯基础设施层面解决
• ✅ 支持邮箱密码、社交登录、企业 SSO
• ✅ 自带登录页，不需要开发前端
• ✅ Session 管理由 ALB 处理，应用无感知

读完本文你将掌握：从零搭建 Cognito User Pool → 配置 ALB 认证规则 → 用户管理 → 日常运维。

一、架构原理

完整认证流程

用户浏览器 │ ▼ 访问 https://docs.example.com ┌─────────────────────────────────────┐ │ ALB (HTTPS:443) │ │ ┌─────────────────────────────┐ │ │ │ 认证规则：未认证 → 重定向 │ │ │ └─────────────────────────────┘