인증 흐름 (OAuth2 PKCE)

테스트 스크립트(test/test_agent.py)에서 구현된 Cognito OAuth2 인증 흐름입니다.

시퀀스 다이어그램

PKCE 키 쌍 생성

def generate_pkce_pair():
    """Generate PKCE code verifier and challenge for OAuth2"""
    # 40바이트 랜덤 값을 Base64URL 인코딩하여 code_verifier 생성
    code_verifier = base64.urlsafe_b64encode(
        os.urandom(40)
    ).decode("utf-8").rstrip("=")

    # code_verifier의 SHA256 해시를 Base64URL 인코딩하여 code_challenge 생성
    code_challenge = (
        base64.urlsafe_b64encode(
            hashlib.sha256(code_verifier.encode()).digest()
        ).decode("utf-8").rstrip("=")
    )
    return code_verifier, code_challenge

단계별 설명

단계	함수/위치	설명
1	generate_pkce_pair()	PKCE 키 쌍 생성 (code_verifier, code_challenge)
2-5	automated_cognito_login()	Cognito Hosted UI 자동 로그인 및 Authorization Code 획득
6-7	Token Exchange	code + code_verifier로 Access Token 교환
8	invoke_endpoint()	Bearer Token으로 AgentCore Runtime 호출

SSM 파라미터 조회

# Cognito 설정은 SSM Parameter Store에서 조회
client_id = get_ssm_parameter("/app/troubleshooting/agentcore/web_client_id")
cognito_domain = get_ssm_parameter("/app/troubleshooting/agentcore/cognito_domain")
cognito_auth_scope = get_ssm_parameter("/app/troubleshooting/agentcore/cognito_auth_scope")
token_url = get_ssm_parameter("/app/troubleshooting/agentcore/cognito_token_url")