Comprendre les jetons JSON Web du pool d'utilisateurs (JWTs)

Les jetons authentifient les utilisateurs et accordent l'accès aux ressources. Les champs standard (claims) présents dans les jetons sont des informations sur l'utilisateur. Le jeton d'identification contient des champs standard sur l'identité, tels que le nom d'utilisateur, le nom de famille et l'adresse e-mail. Le jeton d'accès contient des allégations telles scope que celles que l'utilisateur authentifié peut utiliser pour accéder à des tiersAPIs, aux opérations en API libre-service des utilisateurs d'Amazon Cognito, et le. userInfo point final Le jeton d'accès et le jeton d'identification incluent tous deux une demande cognito:groups qui contient l'appartenance du groupe de l'utilisateur à votre groupe d'utilisateurs. Pour de plus amples informations sur les groupes de groupes d'utilisateurs, consultez Ajout de groupes à un groupe d'utilisateurs.

Amazon Cognito inclut également des jetons que vous pouvez utiliser pour en obtenir des nouveaux ou révoquer des jetons existants. Actualisez un jeton pour récupérer de nouveaux jetons d'identification et d'accès. Révoquez un jeton pour stopper un accès d'utilisateur autorisé par des jetons d'actualisation.

Amazon Cognito émet des jetons sous forme de chaînes codées en Base64. Vous pouvez décoder n'importe quel identifiant ou jeton d'accès Amazon Cognito de base64 en texte brut. JSON Les jetons d'actualisation Amazon Cognito sont chiffrés, opaques pour les utilisateurs et les administrateurs des groupes d'utilisateurs et ne peuvent être lus que par votre groupe d'utilisateurs.

Authentification avec des jetons

Quand un utilisateur se connecte à votre application, Amazon Cognito vérifie les informations de connexion. Si la connexion est établie, Amazon Cognito crée une session et renvoie un jeton d'identification, d'accès et d'actualisation pour l'utilisateur authentifié. Vous pouvez utiliser les jetons pour permettre à vos utilisateurs d'accéder à des ressources en aval, APIs comme Amazon API Gateway. Vous pouvez également les échanger contre des informations d'identification AWS temporaires pour accéder à d'autres services Services AWS.

Stockage de jetons

Votre application doit pouvoir stocker des jetons de différentes tailles. La taille des jetons peut changer pour des raisons incluant, sans s'y limiter, des revendications supplémentaires, des changements dans les algorithmes de codage et des changements dans les algorithmes de chiffrement. Lorsque vous activez la révocation des jetons dans votre groupe d'utilisateurs, Amazon Cognito ajoute des revendications supplémentaires JSON aux jetons Web, augmentant ainsi leur taille. Les nouvelles revendications origin_jti et jti sont ajoutées aux jetons d'accès et d'identification. Pour plus d'informations sur la révocation de jetons, consultez Révocation de jetons.

Personnalisation des jetons

Vous pouvez personnaliser les jetons d'accès et d'identité qu'Amazon Cognito transmet à votre application. Dans unDéclencheur Lambda avant génération de jeton, vous pouvez ajouter, modifier et supprimer des demandes de jetons. Le déclencheur de pré-génération du jeton est une fonction Lambda à laquelle Amazon Cognito envoie un ensemble de demandes par défaut. Les revendications incluent les champs d'application OAuth 2.0, l'appartenance à un groupe d'utilisateurs, les attributs des utilisateurs, etc. La fonction peut ensuite profiter de l'occasion pour apporter des modifications lors de l'exécution et renvoyer les demandes de jetons mises à jour à Amazon Cognito.

Des coûts supplémentaires s'appliquent à la personnalisation des jetons d'accès avec les événements de la version 2. Pour plus d’informations, consultez Tarification d’Amazon Cognito.