Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El punto de conexión de los atributos de usuario

Cuando OIDC emite tokens de identificación que contienen atributos de usuario, la OAuth versión 2.0 implementa el /oauth2/userInfo punto final. Un usuario o cliente autenticado recibe un token de acceso con una notificación scopes. Esta notificación determina los atributos que debe devolver el servidor de autorización. Cuando una aplicación presenta un token de acceso al punto de conexión userInfo, el servidor de autorización devuelve en el cuerpo de la respuesta los atributos del usuario que entran en los límites establecidos por los ámbitos del token de acceso. La aplicación puede recuperar información sobre un usuario desde el punto de conexión userInfo siempre que disponga de un token de acceso válido que tenga al menos una notificación de ámbito openid.

El punto de conexión userInfo es un punto de conexión userInfo de OpenID Connect (OIDC). Responde con los atributos de usuario cuando los proveedores de servicios presentan tokens de acceso que su punto de conexión de token ha emitido. Los ámbitos del token de acceso de su usuario definen los atributos de usuario que el punto de conexión userInfo devuelve en su respuesta. El ámbito openid debe ser una de las notificaciones del token de acceso.

Amazon Cognito emite tokens de acceso en respuesta a solicitudes de API de grupos de usuarios, como InitiateAuth. Como no contienen ningún osciloscopio, los userInfo Endpoint no acepta estos tokens de acceso. En su lugar, debe presentar los tokens de acceso desde el punto de conexión del token.

Su proveedor de identidad (IdP) externo OAuth 2.0 también aloja un userInfo punto final. Cuando su usuario se autentica con ese IdP, Amazon Cognito intercambia silenciosamente un código de autorización con el punto de conexión token del IdP. Su grupo de usuarios pasa el token de acceso del IdP para autorizar la recuperación de la información del usuario desde el punto de conexión userInfo del IdP.

GET /oauth2/userInfo

Su aplicación hace peticiones a este punto de conexión directamente y no a través de un navegador.

Para obtener más información, consulte UserInfo Punto final en la especificación OpenID Connect (OIDC).

Parámetros de la solicitud en el encabezado

Ejemplo: Solicitud

GET /oauth2/userInfo HTTP/1.1
Content-Type: application/x-amz-json-1.1
Authorization: Bearer eyJra12345EXAMPLE
User-Agent: [User agent]
Accept: */*
Host: auth.example.com
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

Ejemplo: Respuesta positiva

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Content-Length: [Integer]
Date: [Timestamp]
x-amz-cognito-request-id: [UUID]
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
Server: Server
Connection: keep-alive
{
    "sub": "[UUID]",
    "email_verified": "true",
    "custom:mycustom1": "CustomValue",
    "phone_number_verified": "true",
    "phone_number": "+12065551212",
    "email": "bob@example.com",
    "username": "bob"
}

Para obtener una lista de las notificaciones OIDC, consulte el tema sobre notificaciones estándar. Actualmente, Amazon Cognito devuelve los valores para email_verified y phone_number_verified como cadenas.

Ejemplo: Respuestas negativas

Ejemplo: Respuesta incorrecta

HTTP/1.1 400 Bad Request
WWW-Authenticate: error="invalid_request",
error_description="Bad OAuth2 request at UserInfo Endpoint"

Ejemplo: Token incorrecto

HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="Access token is expired, disabled, or deleted, or the user has globally signed out."