Autenticando rutas de API Gateway desde varios pools Cognito

En nuestra experiencia de consultoría en sistemas de pago notamos que los proyectos más solicitados actualmente tienen que ver con modernización de arquitecturas de microservicios implementadas sobre una gran variedad de tecnologías y servicios que en su momento cumplieron su objetivo pero que en la actualidad fueron superados por soluciones más potentes y sencillas.

En una de estas experiencias nos encontramos con un cliente con esta necesidad de modernización donde las comunicaciones entre sus microservicios se hacían a través de un API Gateway basado en una tecnología propietaria y que se encargaba de autenticar todas las comunicaciones desde una base de datos centralizada. En esta arquitectura existía un componente central de autenticación conocido como "Auth Database" el cual hacía las operaciones de autenticar clientes así como proveer y validar tokens. La característica más importante de este esquema era la fuerte integración entre el "Auth Database" y el "API Gateway" que al ser productos del mismo proveedor permitía que una ruta pueda ser utilizada por clientes pertenecientes a N grupos dentro del "Auth Database" donde los "grupos" eran equivalentes a "pools" del servicio Cognito de AWS.