Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprensione dei token JSON web del pool di utenti () JWTs
I token autenticano gli utenti e garantiscono l'accesso alle risorse. I token includono le attestazioni che sono informazioni sull'utente. Il token ID contiene le attestazioni relative all'identità, come il nome, il cognome e l'indirizzo e-mail dell'utente. Il token di accesso contiene affermazioni come quelle scope che l'utente autenticato può utilizzare per accedere alle operazioni API self-service degli utenti di Amazon Cognito di terze parti APIs e a. userInfo endpoint I token ID e di accesso includono entrambi un'attestazione cognito:groups che contiene l'appartenenza al gruppo dell'utente nel pool di utenti. Per ulteriori informazioni sui pool di utenti, consulta Aggiunta di gruppi a un bacino d'utenza.
Amazon Cognito dispone anche di token di aggiornamento che puoi usare per ottenere nuovi token o revocare i token esistenti. Aggiorna un token per recuperare nuovi ID e token di accesso. Revoca un token per revocare l'accesso utente consentito dai token di aggiornamento.
Amazon Cognito emette token come stringhe con codifica Base64. Puoi decodificare qualsiasi ID Amazon Cognito o token di accesso da base64 a testo normale. JSON I token di aggiornamento di Amazon Cognito sono crittografati, opachi agli utenti e agli amministratori dei pool di utenti e possono essere letti solo dal pool di utenti.
Autenticazione con i token
Quando un utente accede alla tua applicazione, Amazon Cognito verifica le informazioni di accesso. Se l'accesso avviene correttamente, Amazon Cognito crea una sessione e restituisce un token ID, un token di accesso e un token di aggiornamento per l'utente autenticato. Puoi utilizzare i token per concedere ai tuoi utenti l'accesso a risorse downstream e come APIs Amazon API Gateway. Oppure, puoi scambiarli con credenziali AWS temporanee per accedere ad altri Servizi AWS.
Archiviazione dei token
La tua app deve essere in grado di memorizzare token di varie dimensioni. La dimensione del token può cambiare per motivi tra cui, a titolo esemplificativo, altre attestazioni, modifiche negli algoritmi di codifica e modifiche negli algoritmi di crittografia. Quando abiliti la revoca dei token nel tuo pool di utenti, Amazon Cognito aggiunge ulteriori attestazioni JSON ai token Web, aumentandone le dimensioni. Le nuove attestazioni origin_jti e jti vengono aggiunte ai token di accesso e ID. Per ulteriori informazioni sulla revoca dei token, consulta Revoca dei token.
Importante
Come best practice, proteggere tutti i token durante il transito e lo storage nel contesto dell'applicazione. I token possono contenere informazioni identificative personali sugli utenti e informazioni sul modello di sicurezza utilizzato per bacino d'utenza.
Personalizzazione dei token
Puoi personalizzare i token di accesso e ID trasferiti da Amazon Cognito alla tua app. In un Trigger Lambda di pre-generazione del token, puoi aggiungere, modificare e sopprimere le richieste relative ai token. Il trigger di pre-generazione di token è una funzione Lambda a cui Amazon Cognito invia un set predefinito di richieste. Le affermazioni includono ambiti OAuth 2.0, appartenenza a gruppi di utenti, attributi utente e altro. La funzione può quindi cogliere l'occasione per apportare modifiche al runtime e restituire richieste di token aggiornate ad Amazon Cognito.
Costi aggiuntivi vengono applicati alla personalizzazione dei token di accesso con gli eventi della versione 2. Per ulteriori informazioni, consultare Prezzi di Amazon Cognito
Argomenti
