Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Benutzersitzungen mit Token-Widerruf beenden
Sie können Aktualisierungstoken und Endbenutzersitzungen mit den folgenden Methoden widerrufen. Wenn Sie ein Aktualisierungstoken widerrufen, werden alle Zugriffstoken, die zuvor von diesem Aktualisierungstoken ausgegeben wurden, ungültig. Die anderen Aktualisierungstoken, die an den Benutzer ausgegeben wurden, sind nicht betroffen.
**RevokeToken Betrieb**
[RevokeToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RevokeToken.html)widerruft alle Zugriffstoken für ein bestimmtes Aktualisierungstoken, einschließlich des ersten Zugriffstokens bei der interaktiven Anmeldung. Dieser Vorgang hat keine Auswirkungen auf die anderen Aktualisierungstoken des Benutzers oder auf die ID- und Zugriffstoken, die diesen anderen Aktualisierungstoken untergeordnet sind.
**Endpunkt der Sperrung**
Der [Widerrufsendpunkt widerruft](revocation-endpoint.md) ein bestimmtes Aktualisierungstoken und alle ID- und Zugriffstoken, die das Aktualisierungstoken generiert hat. Dieser Endpunkt widerruft auch das anfängliche Zugriffstoken für die interaktive Anmeldung. Anfragen an diesen Endpunkt wirken sich weder auf die anderen Aktualisierungstoken des Benutzers noch auf die ID- und Zugriffstoken aus, die diesen anderen Aktualisierungstoken untergeordnet sind.
**GlobalSignOut Betrieb**
[GlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html)ist ein Self-Service-Vorgang, den ein Benutzer mit seinem Zugriffstoken autorisiert. Dieser Vorgang widerruft alle Aktualisierungs-, ID- und Zugriffstoken des anfragenden Benutzers.
**AdminUserGlobalSignOut Vorgang**
[AdminUserGlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html)ist ein serverseitiger Vorgang, den ein Administrator mit IAM-Anmeldeinformationen autorisiert. Dieser Vorgang widerruft alle Aktualisierungs-, ID- und Zugriffstoken des Zielbenutzers.
**Wissenswertes über den Widerruf von Token**
+ Ihre Widerrufsanforderung für ein Aktualisierungstoken muss dieselbe Client-ID beinhalten, die zum Abrufen des Tokens verwendet wurde.
+ Der Benutzerpool ist JWTs eigenständig und verfügt über eine Signatur und eine Ablaufzeit, die bei der Erstellung des Tokens zugewiesen wurden. Widerrufene Token können nicht mit Amazon-Cognito-API-Aufrufen verwendet werden, die ein Token erfordern. Widerrufene Token sind jedoch weiterhin gültig, wenn sie mit einer beliebigen JWT-Bibliothek verifiziert werden, die die Signatur und den Ablauf des Tokens verifiziert.
+ Wenn Sie einen neuen Benutzerpool-Client erstellen, ist der Tokenwiderruf standardmäßig aktiviert.
+ Sie können Aktualisierungstoken nur in App-Clients widerrufen, bei denen der Token-Widerruf aktiviert ist.
+ Nachdem Sie den Token-Widerruf aktiviert haben, werden neue Anforderungen in den JSON-Web-Tokens von Amazon Cognito hinzugefügt. Die `origin_jti`- und `jti`-Ansprüche werden zu Zugriffs- und ID-Token hinzugefügt. Diese Ansprüche erhöhen die Größe des Anwendungsclient-Zugriffs und ID-Tokens.
+ Wenn Sie den Token-Widerruf in einem App-Client deaktivieren, in dem er zuvor aktiviert war, werden widerrufene Token nicht wieder aktiv.
+ Wenn Sie [ein Benutzerkonto deaktivieren](how-to-manage-user-accounts.md#manage-user-accounts-enable-disable) (wodurch Aktualisierungs- und Zugriffstoken gesperrt werden), werden die widerrufenen Token nicht aktiv, wenn Sie das Benutzerkonto erneut aktivieren.
+ Wenn Sie einen neuen Benutzerpool-Client mithilfe der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, ist der Token-Widerruf standardmäßig aktiviert.
## Tokenwiderruf aktivieren
Bevor Sie ein Token für einen vorhandenen Benutzerpool-Client widerrufen können, müssen Sie den Tokenwiderruf aktivieren. Sie können den Token-Widerruf für bestehende Benutzerpool-Clients mithilfe der API AWS CLI oder der AWS API aktivieren. Rufen Sie dazu den `aws cognito-idp describe-user-pool-client` CLI-Befehl oder die `DescribeUserPoolClient` API-Operation auf, um die aktuellen Einstellungen von Ihrem App-Client abzurufen. Dann rufen Sie den `aws cognito-idp update-user-pool-client` CLI-Befehl oder die `UpdateUserPoolClient` API-Operation auf. Fügen Sie die aktuellen Einstellungen von Ihrem App-Client hinzu und setzen Sie den Parameter `EnableTokenRevocation` auf `true`.
Um einen App-Client mit aktiviertem Token-Widerruf mit der Amazon Cognito Cognito-API oder einem AWS SDK zu erstellen oder zu ändern, fügen Sie den folgenden Parameter in Ihre [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)oder Ihre [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html)API-Anfrage ein.
```
"EnableTokenRevocation": true
```
Um den Token-Widerruf in der Amazon Cognito Cognito-Konsole zu konfigurieren, wählen Sie einen App-Client aus dem **App-Client-Menü** in Ihrem Benutzerpool aus. Klicken Sie in den **App-Client-Informationen** auf die Schaltfläche **Bearbeiten** und aktivieren oder deaktivieren Sie den Token-Widerruf unter **Erweiterte Konfiguration**.
## Widerrufen eines Token
Sie können ein Aktualisierungstoken mithilfe einer [RevokeToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RevokeToken.html)API-Anfrage widerrufen, beispielsweise mit dem `[aws cognito-idp revoke-token](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/revoke-token.html)` CLI-Befehl. Sie können Token auch mit dem [Widerrufen des Endpunkts](revocation-endpoint.md) widerrufen. Dieser Endpunkt ist verfügbar, nachdem Sie Ihrem Benutzerpool eine Domäne hinzugefügt haben. Sie können den Widerrufsendpunkt entweder auf einer von Amazon Cognito gehosteten Domäne oder auf Ihrer eigenen benutzerdefinierten Domäne verwenden.
Es folgt ein Beispiel für eine `RevokeToken`-API-Anforderung.
```
{
"ClientId": "1example23456789",
"ClientSecret": "abcdef123456789ghijklexample",
"Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}
```
Es folgt ein Beispiel für eine cURL-Anforderung an den Endpunkt `/oauth2/revoke` eines Benutzerpools mit einer benutzerdefinierten Domain.
```
curl --location 'auth.mydomain.com/oauth2/revoke' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic Base64Encode(client_id:client_secret)' \
--data-urlencode 'token=abcdef123456789ghijklexample' \
--data-urlencode 'client_id=1example23456789'
```
Die Operation `RevokeToken` und der Endpunkt `/oauth2/revoke` erfordern keine zusätzliche Autorisierung, es sei denn, Ihr App-Client verfügt über einen geheimen Client-Schlüssel.