Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
L'endpoint di accesso gestito per la disconnessione: /logout
L'endpoint /logout
è un endpoint di reindirizzamento. Disconnette l'utente e lo reindirizza a un URL di disconnessione autorizzato per il client dell'app o all'endpoint. /login
I parametri disponibili in una richiesta GET all'/logout
endpoint sono personalizzati in base ai casi d'uso di accesso gestito di Amazon Cognito.
L'endpoint di logout è un'applicazione web front-end per sessioni utente interattive con i tuoi clienti. La tua app deve richiamare questo e altri endpoint di accesso gestito nei browser degli utenti.
Per reindirizzare l'utente all'accesso gestito per accedere nuovamente, aggiungi un redirect_uri
parametro alla tua richiesta. Una richiesta logout
con un parametro redirect_uri
deve includere anche i parametri per la richiesta successiva a Endpoint Login, come client_id
, response_type
e scope
.
Per reindirizzare l'utente a una pagina di tua scelta, aggiungi Disconnessione consentita URLs al client dell'app. Nelle richieste degli utenti all'endpoint logout
, aggiungi i parametri logout_uri
e client_id
. Se il valore di logout_uri
è una delle uscite consentite URLs per il client dell'app, Amazon Cognito reindirizza gli utenti a quell'URL.
Con il single logout (SLO) per SAML 2.0, Amazon IdPs Cognito reindirizza innanzitutto l'utente all'endpoint SLO definito nella configurazione IdP. Dopo che il tuo IdP ha reindirizzato l'utente a, Amazon saml2/logout
Cognito risponde con un altro reindirizzamento alla o dalla tua richiesta. redirect_uri
logout_uri
Per ulteriori informazioni, consulta Disconnessione degli utenti SAML con accesso singolo.
L'endpoint di logout non disconnette gli utenti dall'OIDC o dai provider di identità social (). IdPs Per disconnettere gli utenti dalla sessione con un IdP esterno, indirizzali alla pagina di disconnessione di quel provider.
GET /logout
L'endpoint /logout
supporta solo HTTPS GET
. Il client del bacino d'utenza in genere invia questa richiesta tramite un browser di sistema. Il browser è in genere Custom Chrome Tab in Android o Safari View Control in iOS.
Parametri della richiesta
- client_id
-
L'ID client dell'app per l'app. Per ottenere l'ID del client di un'app, devi registrare l'app nel bacino d'utenza. Per ulteriori informazioni, consulta Impostazioni specifiche dell'applicazione con client di app.
Obbligatorio.
- logout_uri
-
Reindirizza l'utente a una pagina di disconnessione personalizzata con un parametro logout_uri. Imposta il suo valore sull'URL di disconnessione del client dell'app a cui vuoi reindirizzare l'utente dopo la disconnessione. Utilizza logout_uri solo con il parametro client_id. Per ulteriori informazioni, consulta Impostazioni specifiche dell'applicazione con client di app.
Puoi utilizzare il parametro logout_uri anche per reindirizzare l'utente alla pagina di accesso di un altro client di app. Imposta la pagina di accesso per l'altro client di app come Allowed callback URL (URL di callback consentito) nel tuo client di app. Nella richiesta all'endpoint
/logout
, imposta il valore del parametro logout_uri sulla pagina di accesso con codifica URL.Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint
/logout
. Il parametro logout_uri reindirizza l'utente a un altro sito Web. Se nella richiesta all'endpoint/logout
sono inclusi entrambi i parametri logout_uri e redirect_uri, Amazon Cognito utilizzerà esclusivamente il parametro logout_uri, sovrascrivendo il parametro redirect_uri. nonce
-
(Facoltativo) Un valore casuale che puoi aggiungere alla richiesta. Il valore nonce fornito è incluso nel token ID emesso da Amazon Cognito. Per proteggersi da attacchi di tipo replay, l'app può analizzare la richiesta
nonce
nel token dell'ID e confrontarlo con quello generato. Per ulteriori informazioni sulla richiestanonce
, consulta la sezione relativa alla convalida del token dell'IDnella documentazione dello standard OpenID Connect. - redirect_uri
-
Reindirizza l'utente alla pagina di accesso per l'autenticazione con il parametro redirect_uri. Imposta il suo valore sull'URL di callback consentito del client dell'app dove vuoi reindirizzare l'utente quando questo ha nuovamente effettuato l'accesso. Utilizza i parametri client_id, scope, state e response_type che vuoi passare all'endpoint
/login
.Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint
/logout
. Per reindirizzare l'utente all'/login
endpoint per riautenticarsi e passare i token all'app, aggiungi un parametro redirect_uri. Se nella richiesta all'endpoint sono inclusi entrambi i parametri logout_uri e redirect_uri,/logout
Amazon Cognito sovrascrive il parametro redirect_uri ed elabora esclusivamente il parametro logout_uri. - response_type
-
La risposta OAuth 2.0 che desideri ricevere da Amazon Cognito dopo l'accesso dell'utente.
code
etoken
sono i valori validi per il parametro response_type.Obbligatorio se si utilizza un parametro redirect_uri.
- stato
-
Quando l'applicazione aggiunge un parametro di stato a una richiesta, Amazon Cognito ne restituisce il valore all'app quando l'
/oauth2/logout
endpoint reindirizza l'utente.Aggiungi questo valore alle richieste di protezione contro attacchi CSRF
. Non è possibile impostare il valore di un parametro
state
su una stringa JSON con codifica URL. Per passare una stringa che corrisponda a questo formato in unstate
parametro, codifica la stringa in base64, quindi decodificala nell'applicazione.Vivamente consigliato quando si utilizza un parametro redirect_uri.
- scope
-
Gli ambiti OAuth 2.0 che desideri richiedere ad Amazon Cognito dopo averli disconnessi con un parametro redirect_uri. Amazon Cognito reindirizza l'utente all'endpoint
/login
con il parametro scopenella richiesta all'endpoint/logout
.Facoltativo quando si utilizza un parametro redirect_uri. Se non includi un parametro scope, Amazon Cognito reindirizza l'utente all'endpoint
/login
con un parametro scope. Quando Amazon Cognito reindirizza l'utente e compila automaticamentescope
, il parametro include tutti gli ambiti autorizzati per il client di app.
Richieste di esempio
Esempio: disconnettersi e reindirizzare l'utente al client
Quando le richieste includono logout_uri
e client_id
, Amazon Cognito reindirizza le sessioni utente all'URL nel valore di logout_uri
, ignorando tutti gli altri parametri di richiesta. Questo URL deve essere un URL di disconnessione autorizzato per il client dell'app.
Di seguito è riportato un esempio di richiesta di disconnessione e reindirizzamento a https://www.example.com/welcome
.
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? client_id=1example23456789& logout_uri=https%3A%2F%2Fwww.example.com%2Fwelcome
Esempio: disconnettersi e richiedere all'utente di accedere come altro utente
Quando le richieste vengono omesse logout_uri
ma forniscono in altro modo i parametri che costituiscono una richiesta ben formata all'endpoint di autorizzazione, Amazon Cognito reindirizza gli utenti all'accesso gestito. L'endpoint di disconnessione aggiunge i parametri della richiesta originale alla destinazione di reindirizzamento.
I parametri aggiuntivi che aggiungi alla richiesta di disconnessione devono essere presenti nell'elenco in. Parametri della richiesta Ad esempio, l'endpoint di logout non supporta il reindirizzamento IdP automatico con parametri o. identity_provider
idp_identifier
Il parametro redirect_uri
in una richiesta all'endpoint di logout non è un URL di disconnessione, ma un post-sign-in URL che si desidera trasmettere all'endpoint di autorizzazione.
Di seguito è riportato un esempio di richiesta che disconnette un utente, reindirizza alla pagina di accesso e fornisce un codice di autorizzazione dopo l'accesso. https://www.example.com
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? response_type=code& client_id=1example23456789& redirect_uri=https%3A%2F%2Fwww.example.com& state=example-state-value& nonce=example-nonce-value& scope=openid+profile+aws.cognito.signin.user.admin