当用户通过 Apple 身份验证登录您的应用时，Apple 会生成一组密钥，并使用这组密钥创建一个 JWT 。这是在 Apple 的身份验证服务器上完成的，并且是您的应用无法控制的。

此后，Apple 会将 JWT 传递回您的应用，您的应用应该将该 JWT 传递给 AWS Cognito。当 AWS Cognito 发出令牌以后，就会使 JWT 失效，这使得您的应用能够使用令牌来调用受 Cognito 保护的 API 。

问题在于，当使用 Sign in with Apple 登录时，JWT 仍然有效，并且 AWS Cognito 不知道该 JWT 已失效。因此，您的应用程序会收到一个无效的访问令牌，并且您无法使用此令牌来访问 AWS Cognito 保护的资源。

为了解决此问题，您需要在调用 AWS Cognito API 之前，检查 JWT 是否已失效，并且仅在 JWT 有效时才使用令牌。

以下示例代码演示了如何在 Node.js 中进行此检查：

const jwtDecode = require('jwt-decode');
const jwksClient = require('jwks-rsa');
const jwt = require('jsonwebtoken');

const token = // JWT token from Apple
const jwksUri = 'https://appleid.apple.com/auth/keys';

const client = jwksClient({
  jwksUri: jwksUri
});

async function verifyAppleToken(token) {
  const kid = jwtDecode(token).kid;
  let signingKey;
  try {
    signingKey = await client.getSigningKey(kid);
  } catch (err) {
    console.error(`Error fetching Apple signing key: ${err}`);
    return false;
  }
  const publicKey = signingKey.getPublicKey();
  try {
    const decoded = jwt.verify(token, publicKey, { algorithms: ['RS256'] });
    const { iss, aud, exp } = decoded;
    if (iss != 'https://appleid.apple.com' || aud != 'com.yourapp' || Date.now() > exp * 1000) {
      console.log('Invalid Apple token');
      return false;
    }
    console.log('Apple token is valid');
    return true;
  } catch (err) {
    console.error(`Error verifying Apple token: ${err}`);
    return false;
  }
}

(async () => {