Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
JSON-Webtoken (JWTs) für den Benutzerpool verstehen
Tokens authentifizieren Benutzer und gewähren Zugriff auf Ressourcen. Bei den Ansprüchen in Tokens handelt es sich um Informationen über Ihren Benutzer. Das ID-Token enthält Angaben zu dessen Identität, wie etwa Benutzername, Familienname und E-Mail-Adresse. Das Zugriffstoken enthält Behauptungen wiescope, mit denen der authentifizierte Benutzer auf Self-Service-API-Operationen von Drittanbietern APIs, Amazon Cognito Cognito-Benutzern zugreifen kann, und die. UserInfo-Endpunkt Sowohl das Zugriffs- als auch das ID-Token enthalten einen cognito:groups-Anspruch mit der Gruppenmitgliedschaft Ihres Benutzers in Ihrem Benutzerpool. Weitere Informationen zu Benutzerpoolgruppen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.
Amazon Cognito bietet außerdem auch Refresh-Token, mit denen Sie neue Token abrufen oder vorhandene Token widerrufen können. Aktualisieren Sie ein Token, um eine neue ID und Zugriffstoken abzurufen. Widerrufen Sie ein Token, um den Benutzerzugriff zu widerrufen, der durch Aktualisierungstoken zugelassen wird.
Amazon Cognito gibt Token als base64urlbase64url dekodieren. Amazon-Cognito-Refresh-Token sind verschlüsselt, für Benutzer und Administratoren von Benutzerpools undurchsichtig, und können nur von Ihrem Benutzerpool gelesen werden.
Authentifizieren mit Tokens
Wenn sich ein Benutzer bei Ihrer App anmeldet, überprüft Amazon Cognito die Anmeldeinformationen. Nach erfolgreicher Anmeldung erstellt Amazon Cognito eine Sitzung und gibt ein ID-, Zugriffs- und Refresh-Token für den authentifizierten Benutzer zurück. Sie können die Token verwenden, um Ihren Benutzern Zugriff auf nachgelagerte Ressourcen APIs wie Amazon API Gateway zu gewähren. Alternativ können Sie diese gegen temporäre AWS -Anmeldeinformationen eintauschen, um auf andere AWS-Services zugreifen zu können.
Speichern von Token
Ihre App muss Token unterschiedlicher Größe speichern können. Die Tokengröße kann sich unter anderem aus Gründen zusätzlicher Ansprüche, Änderungen der Kodierungsalgorithmen und Änderungen der Verschlüsselungsalgorithmen ändern. Wenn Sie den Token-Widerruf in Ihrem Benutzerpool aktivieren, fügt Amazon Cognito JSON Web Tokens zusätzliche Anforderungen hinzu und erhöht deren Größe. Die neuen Ansprüche origin_jti und jti werden zu Zugriffs- und ID-Token hinzugefügt. Weitere Informationen zum Widerrufen von Token finden Sie unter Widerrufen von Token.
Wichtig
Eine bewährte Methode ist, alle Token während der Übertragung und Speicherung im Kontext Ihrer Anwendung zu sichern. Token können persönlich identifizierende Informationen über Ihre Benutzer und Informationen über das Sicherheitsmodell enthalten, das Sie für Ihren Benutzerpool verwenden.
Anpassen von Token
Sie können die Zugriffs- und ID-Token anpassen, die Amazon Cognito an Ihre App weitergibt. In einer Lambda-Auslöser für die Vorab-Generierung von Token können Sie Token-Ansprüche hinzufügen, ändern und unterdrücken. Der Trigger für Pre-Token-Generierung ist eine Lambda-Funktion, an die Amazon Cognito einen Standardsatz von Ansprüchen sendet. Zu den Ansprüchen gehören Bereiche der OAuth Version 2.0, Gruppenzugehörigkeit im Benutzerpool, Benutzerattribute und vieles mehr. Die Funktion kann dann die Gelegenheit nutzen, Änderungen zur Laufzeit vorzunehmen und die aktualisierten Token-Ansprüche an Amazon Cognito zurückzugeben.
Für die Anpassung des Zugriffs-Token bei Ereignissen der Version 2 fallen zusätzliche Kosten an. Weitere Informationen finden Sie unter Amazon Cognito – Preise
Themen
