Verwenden des Aktualisierungs-Tokens - Amazon Cognito
Token aktualisierenWiderrufen von Aktualisierungstokens

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden des Aktualisierungs-Tokens

Sie können das Aktualisierungstoken verwenden, um neue ID- und Zugriffstoken abzurufen. Standardmäßig läuft das Aktualisierungstoken 30 Tage, nachdem sich Ihr Anwendungs-Benutzer an Ihrem Benutzerpool angemeldet hat, ab. Wenn Sie eine Anwendung für Ihren Benutzerpool erstellen, können Sie den Ablauf des Aktualisierungstokens der Anwendung auf einen beliebigen Wert zwischen 60 Minuten und 10 Jahren setzen.

Das Mobile SDK for iOS, Mobile SDK for Android, Amplify für iOS, Android und Flutter aktualisieren automatisch Ihre ID und Zugriffstoken, wenn ein gültiges (nicht abgelaufenes) Aktualisierungstoken vorhanden ist. Die ID und Zugriffstoken haben eine verbleibende Mindestgültigkeit von 2 Minuten. Wenn das Aktualisierungstoken abgelaufen ist, muss sich Ihr App-Benutzer neu authentifizieren, indem er sich erneut bei Ihrem Benutzerpool anmeldet. Wenn das Minimum für das Zugriffstoken und das ID-Token auf 5 Minuten festgelegt ist und Sie das SDK verwenden, wird das Aktualisierungstoken kontinuierlich aktualisiert, um auf neue Zugriffs- und ID-Token zuzugreifen. Um das erwartete Verhalten anzuzeigen, legen Sie mindestens 7 Minuten statt 5 Minuten fest.

Das Benutzerkonto selbst ist zeitlich unbegrenzt, solange sich der Benutzer mindestens einmal vor Ablauf des Zeitraums von UnusedAccountValidityDays für neue Konten angemeldet hat.

Abrufen neuer Zugriffs- und Identitätstoken mit einem Aktualisierungstoken

Verwenden Sie die API oder die gehostete Benutzeroberfläche, um die Authentifizierung für Aktualisierungstoken zu initiieren.

Um das Aktualisierungstoken zu verwenden, um neue IDs und Zugriffstoken mit der Benutzerpools-API abzurufen, verwenden Sie die AdminInitiateAuthInitiateAuthAPI-Operationen oder. Übergeben Sie REFRESH_TOKEN_AUTH für den AuthFlow-Parameter. Übergeben Sie das Aktualisierungstoken des Benutzers in der AuthFlow-Eigenschaft AuthParameters als Wert von "REFRESH_TOKEN". Amazon Cognito gibt neue ID- und Zugriffstoken zurück, nachdem Ihre API-Anfrage alle Herausforderungen bestanden hat.

Anmerkung

Um die Benutzerpools-API von Amazon Cognito zum Aktualisieren von Token für Benutzer einer gehosteten Benutzeroberfläche zu verwenden, generieren Sie eine InitiateAuth-Anfrage.

Sie können Aktualisierungstoken auch an den Token-Endpunkt in einem Benutzerpool übermitteln, in dem Sie eine Domain konfiguriert haben. Fügen Sie in den Anfragetext den grant_type-Wert refresh_token und den refresh_token-Wert des Aktualisierungstokens des Benutzers ein.

Widerrufen von Aktualisierungstokens

Sie können Aktualisierungstokens widerrufen, die einem Benutzer gehören. Weitere Informationen über Token finden Sie unter Widerrufen von Token.

Anmerkung

Durch das Widerrufen des Aktualisierungstokens werden alle ID- und Zugriffstoken widerrufen, die Amazon Cognito aus Aktualisierungsanfragen mit diesem Token ausgestellt hat.

Durch Verwendung der API-Operationen GlobalSignOut und AdminUserGlobalSignOut können Benutzer sich bei allen Geräten abmelden, bei denen sie aktuell angemeldet sind, wenn Sie alle Token eines Benutzers widerrufen. Die Abmeldung eines Benutzers hat folgende Auswirkungen.

  • Mit dem Aktualisierungstoken des Benutzers können keine neuen Token für den Benutzer abgerufen werden.

  • Mit dem Zugriffstoken des Benutzers können keine über Token autorisierte API-Anforderungen gesendet werden.

  • Der Benutzer muss sich erneut authentifizieren, um neue Tokens zu erhalten. Da Sitzungscookies für gehostete Benutzeroberflächen nicht automatisch ablaufen, können Benutzer sich mit einem Sitzungscookie erneut authentifizieren, ohne die Anmeldeinformationen noch einmal eingeben zu müssen. Nachdem Sie die Benutzer der gehosteten Benutzeroberfläche abgemeldet haben, leiten Sie sie an den Logout-Endpunkt weiter, damit Amazon Cognito das Sitzungscookie löscht.

Mit Aktualisierungstoken können Sie Benutzersitzungen in Ihrer App für eine lange Zeit aufrechterhalten. Im Laufe der Zeit möchten Benutzer möglicherweise die Autorisierung für einige Geräte, auf denen sie sich angemeldet haben, aufheben und ihre Sitzung kontinuierlich aktualisieren. Wenn Sie einen Benutzer von einem einzelnen Gerät abmelden möchten, widerrufen Sie sein Aktualisierungstoken. Wenn sich Ihr Benutzer von allen authentifizierten Sitzungen abmelden möchte, generieren Sie eine GlobalSignOutAPI-Anfrage. Ihre App kann dem Benutzer eine Auswahl wie Von allen Geräten abmelden bieten. GlobalSignOut akzeptiert das gültige – unveränderte, nicht abgelaufene, nicht widerrufene – Zugriffstoken eines Benutzers. Da diese API über Token autorisiert ist, können Benutzer sie nicht verwenden, um die Abmeldung für andere Benutzer zu initiieren.

Sie können jedoch eine AdminUserGlobalSignOutAPI-Anfrage generieren, die Sie mit Ihren AWS Anmeldeinformationen autorisieren, um jeden Benutzer von all seinen Geräten abzumelden. Die Administratoranwendung muss diesen API-Vorgang mit AWS Entwickleranmeldedaten aufrufen und die Benutzerpool-ID und den Benutzernamen des Benutzers als Parameter übergeben. Die AdminUserGlobalSignOut-API kann alle Benutzer vom Benutzerpool abmelden.

Weitere Informationen zu Anfragen, die Sie entweder mit AWS Anmeldeinformationen oder dem Zugriffstoken eines Benutzers autorisieren können, finden Sie unterAuthentifizierte und nicht authentifizierte API-Operationen der Amazon-Cognito-Benutzerpools.