Grundlegendes zum Aktualisierungstoken - Amazon Cognito
Token aktualisierenWiderrufen von Aktualisierungstokens

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zum Aktualisierungstoken

Sie können das Aktualisierungstoken verwenden, um neue ID- und Zugriffstoken abzurufen. Standardmäßig läuft das Aktualisierungstoken 30 Tage, nachdem sich Ihr Anwendungs-Benutzer an Ihrem Benutzerpool angemeldet hat, ab. Wenn Sie eine Anwendung für Ihren Benutzerpool erstellen, können Sie den Ablauf des Aktualisierungstokens der Anwendung auf einen beliebigen Wert zwischen 60 Minuten und 10 Jahren setzen.

Mobile SDK for iOS, Mobile for Android, Amplify SDK for iOS, Android und Flutter aktualisieren Ihre ID und Zugriffstoken automatisch, wenn ein gültiges (nicht abgelaufenes) Aktualisierungstoken vorhanden ist. Die ID und Zugriffstoken haben eine verbleibende Mindestgültigkeit von 2 Minuten. Wenn das Aktualisierungstoken abgelaufen ist, muss sich Ihr App-Benutzer neu authentifizieren, indem er sich erneut bei Ihrem Benutzerpool anmeldet. Wenn das Minimum für das Zugriffstoken und das ID-Token auf 5 Minuten festgelegt ist und Sie das verwenden, wird das Aktualisierungstoken kontinuierlich verwendetSDK, um neue Zugriffs- und ID-Token abzurufen. Um das erwartete Verhalten anzuzeigen, legen Sie mindestens 7 Minuten statt 5 Minuten fest.

Das Benutzerkonto selbst ist zeitlich unbegrenzt, solange sich der Benutzer mindestens einmal vor Ablauf des Zeitraums von UnusedAccountValidityDays für neue Konten angemeldet hat.

Abrufen neuer Zugriffs- und Identitätstoken mit einem Aktualisierungstoken

Verwenden Sie die API oder die gehostete Benutzeroberfläche, um die Authentifizierung für Aktualisierungstoken zu initiieren.

Um das Aktualisierungstoken zu verwenden, um neue IDs und Zugriffstoken für die Benutzerpools API abzurufen, verwenden Sie die InitiateAuthAPIOperationen AdminInitiateAuthoder. Übergeben Sie REFRESH_TOKEN_AUTH für den AuthFlow-Parameter. Übergeben Sie das Aktualisierungstoken des Benutzers in der AuthFlow-Eigenschaft AuthParameters als Wert von "REFRESH_TOKEN". Amazon Cognito gibt neue IDs und Zugriffstoken zurück, nachdem Ihre API Anfrage alle Herausforderungen bestanden hat.

Anmerkung

Um die Amazon Cognito Cognito-Benutzerpools API zum Aktualisieren von Tokens für einen gehosteten UI-Benutzer zu verwenden, generieren InitiateAuth Sie eine Anfrage mit dem REFRESH_TOKEN_AUTH Flow. Diese Methode der Token-Behandlung in Ihrer Anwendung hat keine Auswirkungen auf die gehosteten UI-Sitzungen der Benutzer. Die API Antwort gibt neue ID- und Zugriffstoken aus, erneuert jedoch nicht das gehostete UI-Sitzungscookie.

Sie können Aktualisierungstoken auch an den Token-Endpunkt in einem Benutzerpool übermitteln, in dem Sie eine Domain konfiguriert haben. Fügen Sie in den Anfragetext den grant_type-Wert refresh_token und den refresh_token-Wert des Aktualisierungstokens des Benutzers ein.

Widerrufen von Aktualisierungstokens

Sie können Aktualisierungstokens widerrufen, die einem Benutzer gehören. Weitere Informationen über Token finden Sie unter Benutzersitzungen mit Token-Widerruf beenden.

Anmerkung

Durch das Widerrufen des Aktualisierungstokens werden alle ID- und Zugriffstoken widerrufen, die Amazon Cognito aus Aktualisierungsanfragen mit diesem Token ausgestellt hat.

Benutzer können sich von allen Geräten abmelden, auf denen sie derzeit angemeldet sind, wenn Sie alle Benutzertoken mithilfe der AdminUserGlobalSignOut API Operationen GlobalSignOut und widerrufen. Die Abmeldung eines Benutzers hat folgende Auswirkungen.

  • Mit dem Aktualisierungstoken des Benutzers können keine neuen Token für den Benutzer abgerufen werden.

  • Das Zugriffstoken des Benutzers kann keine Token-autorisierten Anfragen API stellen.

  • Der Benutzer muss sich erneut authentifizieren, um neue Tokens zu erhalten. Da Sitzungscookies für gehostete Benutzeroberflächen nicht automatisch ablaufen, können Benutzer sich mit einem Sitzungscookie erneut authentifizieren, ohne die Anmeldeinformationen noch einmal eingeben zu müssen. Nachdem Sie die Benutzer der gehosteten Benutzeroberfläche abgemeldet haben, leiten Sie sie an den Logout-Endpunkt weiter, damit Amazon Cognito das Sitzungscookie löscht.

Mit Aktualisierungstoken können Sie Benutzersitzungen in Ihrer App für eine lange Zeit aufrechterhalten. Im Laufe der Zeit möchten Benutzer möglicherweise die Autorisierung für einige Geräte, auf denen sie sich angemeldet haben, aufheben und ihre Sitzung kontinuierlich aktualisieren. Wenn Sie einen Benutzer von einem einzelnen Gerät abmelden möchten, widerrufen Sie sein Aktualisierungstoken. Wenn sich Ihr Benutzer von allen authentifizierten Sitzungen abmelden möchte, generieren Sie eine Anfrage. GlobalSignOutAPI Ihre App kann dem Benutzer eine Auswahl wie Von allen Geräten abmelden bieten. GlobalSignOut akzeptiert das gültige – unveränderte, nicht abgelaufene, nicht widerrufene – Zugriffstoken eines Benutzers. Da es sich um eine Token-Autorisierung API handelt, kann ein Benutzer damit nicht die Abmeldung für einen anderen Benutzer initiieren.

Sie können jedoch eine AdminUserGlobalSignOutAPIAnfrage generieren, die Sie mit Ihren AWS Anmeldeinformationen autorisieren, um jeden Benutzer von all seinen Geräten abzumelden. Die Administratoranwendung muss diesen API Vorgang mit AWS Entwickleranmeldedaten aufrufen und die Benutzerpool-ID und den Benutzernamen des Benutzers als Parameter übergeben. Sie AdminUserGlobalSignOut API können jeden Benutzer im Benutzerpool abmelden.

Weitere Informationen zu Anfragen, die Sie entweder mit AWS Anmeldeinformationen oder dem Zugriffstoken eines Benutzers autorisieren können, finden Sie unterAmazon Cognito Cognito-Benutzer bündeln authentifizierte und nicht authentifizierte Operationen API.