OAuthSovvenzioni 2.0 - Amazon Cognito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

OAuthSovvenzioni 2.0

Il server di autorizzazione del pool di utenti di Amazon Cognito OAuth 2.0 emette token in risposta a tre tipi di concessioni di autorizzazione OAuth 2.0. Puoi impostare i tipi di concessione supportati per ogni client dell'app nel pool di utenti. Non puoi abilitare concessioni delle credenziali del client nello stesso client dell'app come concessioni implicite o del codice di autorizzazione. Le richieste per concessioni implicite e del codice di autorizzazione iniziano in in Endpoint Authorize e le richieste per concessioni delle credenziali dei clienti iniziano in Endpoint Token.

Concessione codice autorizzazione

In risposta alla richiesta di autenticazione andata a buon fine, il server di autorizzazione aggiunge un codice di autorizzazione in un code parametro alla callback. URL Occorre quindi scambiare il codice per token ID, di accesso e di aggiornamento con Endpoint Token. Per richiedere una concessione del codice di autorizzazione, imposta response_type su code nella richiesta. Per una richiesta di esempio, consulta Concessione codice autorizzazione.

La concessione del codice di autorizzazione è la forma più sicura di concessione di autorizzazione. Non mostra il contenuto dei token direttamente agli utenti. L'app è invece responsabile del recupero e dell'archiviazione sicura dei token dell'utente. In Amazon Cognito, una concessione del codice di autorizzazione è l'unico modo per ottenere tutti e tre i tipi di token (ID, accesso e aggiornamento) dal server di autorizzazione. Puoi anche ottenere tutti e tre i tipi di token dall'autenticazione tramite i pool di utenti di Amazon CognitoAPI, ma API non emette token di accesso con ambiti diversi da. aws.cognito.signin.user.admin

Implicit grant (Concessione implicita)

In risposta alla richiesta di autenticazione andata a buon fine, il server di autorizzazione aggiunge un token di accesso in un access_token parametro e un token ID in un id_token parametro al callback. URL Una concessione implicita non richiede alcuna interazione aggiuntiva con Endpoint Token. Per richiedere una concessione implicita, imposta response_type su token nella richiesta. La concessione implicita genera solo un ID e un token di accesso. Per una richiesta di esempio, consulta Concessione del token senza ambito openid.

La concessione implicita è una concessione di autorizzazione legacy. A differenza della concessione del codice di autorizzazione, gli utenti possono intercettare e ispezionare i token. Per impedire la distribuzione dei token tramite concessione implicita, configura il client dell'app in modo che supporti solo la concessione del codice di autorizzazione.

Client credentials (Credenziali del client)

Le credenziali del client sono concesse solo per l'autorizzazione all'accesso. machine-to-machine Per ricevere una concessione delle credenziali del client, ignora il Endpoint Authorize e genera una richiesta direttamente a Endpoint Token. Il client dell'app deve disporre di un segreto del client e supportare solo le concessioni delle credenziali del cliente. In risposta alla richiesta riuscita, il server di autorizzazione restituisce un token di accesso.

Il token di accesso derivante dalla concessione di credenziali client è un meccanismo di autorizzazione che contiene ambiti 2.0. OAuth In genere, il token contiene attestazioni di ambito personalizzate che autorizzano HTTP le operazioni ad accesso protetto. APIs Per ulteriori informazioni, consulta Ambiti, M2M e API autorizzazione con server di risorse.

Le credenziali del cliente garantiscono costi aggiuntivi alla fattura. AWS Per ulteriori informazioni, consultare Prezzi di Amazon Cognito.

Per ulteriori informazioni su queste sovvenzioni e sulla loro implementazione, consulta Come usare la OAuthversione 2.0 in Amazon Cognito: scopri le OAuth diverse sovvenzioni 2.0 nel AWS blog sulla sicurezza.