Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
L'endpoint di accesso gestito per la disconnessione: /logout
L'endpoint /logout è un endpoint di reindirizzamento. Disconnette l'utente e lo reindirizza a un URL di disconnessione autorizzato per il client dell'app o all'endpoint. /login I parametri disponibili in una richiesta GET all'/logoutendpoint sono personalizzati in base ai casi d'uso di accesso gestito di Amazon Cognito.
L'endpoint di logout è un'applicazione web front-end per sessioni utente interattive con i tuoi clienti. La tua app deve richiamare questo e altri endpoint di accesso gestito nei browser degli utenti.
Per reindirizzare l'utente all'accesso gestito per accedere nuovamente, aggiungi un redirect_uri parametro alla tua richiesta. Una richiesta logout con un parametro redirect_uri deve includere anche i parametri per la richiesta successiva a Endpoint Login, come client_id, response_type e scope.
Per reindirizzare l'utente a una pagina di tua scelta, aggiungi Disconnessione consentita URLs al client dell'app. Nelle richieste degli utenti all'endpoint logout, aggiungi i parametri logout_uri e client_id. Se il valore di logout_uri è una delle uscite consentite URLs per il client dell'app, Amazon Cognito reindirizza gli utenti a quell'URL.
Con il single logout (SLO) per SAML 2.0, Amazon IdPs Cognito reindirizza innanzitutto l'utente all'endpoint SLO definito nella configurazione IdP. Dopo che il tuo IdP ha reindirizzato l'utente a, Amazon saml2/logout Cognito risponde con un altro reindirizzamento alla o dalla tua richiesta. redirect_uri logout_uri Per ulteriori informazioni, consulta Disconnessione degli utenti SAML con accesso singolo.
L'endpoint di logout non disconnette gli utenti dall'OIDC o dai provider di identità social (). IdPs Per disconnettere gli utenti dalla sessione con un IdP esterno, indirizzali alla pagina di disconnessione di quel provider.
GET /logout
L'endpoint /logout supporta solo HTTPS GET. Il client del bacino d'utenza in genere invia questa richiesta tramite un browser di sistema. Il browser è in genere Custom Chrome Tab in Android o Safari View Control in iOS.
Parametri della richiesta
- client_id
-
L'ID client dell'app per l'app. Per ottenere l'ID del client di un'app, devi registrare l'app nel bacino d'utenza. Per ulteriori informazioni, consulta Impostazioni specifiche dell'applicazione con client di app.
Obbligatorio.
- logout_uri
-
Reindirizza l'utente a una pagina di disconnessione personalizzata con un parametro logout_uri. Imposta il suo valore sull'URL di disconnessione del client dell'app a cui vuoi reindirizzare l'utente dopo la disconnessione. Utilizza logout_uri solo con il parametro client_id. Per ulteriori informazioni, consulta Impostazioni specifiche dell'applicazione con client di app.
Puoi utilizzare il parametro logout_uri anche per reindirizzare l'utente alla pagina di accesso di un altro client di app. Imposta la pagina di accesso per l'altro client di app come Allowed callback URL (URL di callback consentito) nel tuo client di app. Nella richiesta all'endpoint
/logout, imposta il valore del parametro logout_uri sulla pagina di accesso con codifica URL.Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint
/logout. Il parametro logout_uri reindirizza l'utente a un altro sito Web. Se nella richiesta all'endpoint/logoutsono inclusi entrambi i parametri logout_uri e redirect_uri, Amazon Cognito utilizzerà esclusivamente il parametro logout_uri, sovrascrivendo il parametro redirect_uri. nonce-
(Facoltativo) Un valore casuale che puoi aggiungere alla richiesta. Il valore nonce fornito è incluso nel token ID emesso da Amazon Cognito. Per proteggersi da attacchi di tipo replay, l'app può analizzare la richiesta
noncenel token dell'ID e confrontarlo con quello generato. Per ulteriori informazioni sulla richiestanonce, consulta la sezione relativa alla convalida del token dell'IDnella documentazione dello standard OpenID Connect. - redirect_uri
-
Reindirizza l'utente alla pagina di accesso per l'autenticazione con il parametro redirect_uri. Imposta il suo valore sull'URL di callback consentito del client dell'app dove vuoi reindirizzare l'utente quando questo ha nuovamente effettuato l'accesso. Utilizza i parametri client_id, scope, state e response_type che vuoi passare all'endpoint
/login.Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint
/logout. Per reindirizzare l'utente all'/loginendpoint per riautenticarsi e passare i token all'app, aggiungi un parametro redirect_uri. Se nella richiesta all'endpoint sono inclusi entrambi i parametri logout_uri e redirect_uri,/logoutAmazon Cognito sovrascrive il parametro redirect_uri ed elabora esclusivamente il parametro logout_uri. - response_type
-
La risposta OAuth 2.0 che desideri ricevere da Amazon Cognito dopo l'accesso dell'utente.
codeetokensono i valori validi per il parametro response_type.Obbligatorio se si utilizza un parametro redirect_uri.
- stato
-
Quando l'applicazione aggiunge un parametro di stato a una richiesta, Amazon Cognito ne restituisce il valore all'app quando l'
/oauth2/logoutendpoint reindirizza l'utente.Aggiungi questo valore alle richieste di protezione contro attacchi CSRF
. Non è possibile impostare il valore di un parametro
statesu una stringa JSON con codifica URL. Per passare una stringa che corrisponda a questo formato in unstateparametro, codifica la stringa in base64, quindi decodificala nell'applicazione.Vivamente consigliato quando si utilizza un parametro redirect_uri.
- scope
-
Gli ambiti OAuth 2.0 che desideri richiedere ad Amazon Cognito dopo averli disconnessi con un parametro redirect_uri. Amazon Cognito reindirizza l'utente all'endpoint
/logincon il parametro scopenella richiesta all'endpoint/logout.Facoltativo quando si utilizza un parametro redirect_uri. Se non includi un parametro scope, Amazon Cognito reindirizza l'utente all'endpoint
/logincon un parametro scope. Quando Amazon Cognito reindirizza l'utente e compila automaticamentescope, il parametro include tutti gli ambiti autorizzati per il client di app.
Richieste di esempio
Esempio: disconnettersi e reindirizzare l'utente al client
Quando le richieste includono logout_uri e client_id, Amazon Cognito reindirizza le sessioni utente all'URL nel valore di logout_uri, ignorando tutti gli altri parametri di richiesta. Questo URL deve essere un URL di disconnessione autorizzato per il client dell'app.
Di seguito è riportato un esempio di richiesta di disconnessione e reindirizzamento a https://www.example.com/welcome.
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? client_id=1example23456789& logout_uri=https%3A%2F%2Fwww.example.com%2Fwelcome
Esempio: disconnettersi e richiedere all'utente di accedere come altro utente
Quando le richieste vengono omesse logout_uri ma forniscono in altro modo i parametri che costituiscono una richiesta ben formata all'endpoint di autorizzazione, Amazon Cognito reindirizza gli utenti all'accesso gestito. L'endpoint di disconnessione aggiunge i parametri della richiesta originale alla destinazione di reindirizzamento.
I parametri aggiuntivi che aggiungi alla richiesta di disconnessione devono essere presenti nell'elenco in. Parametri della richiesta Ad esempio, l'endpoint di logout non supporta il reindirizzamento IdP automatico con parametri o. identity_provider idp_identifier Il parametro redirect_uri in una richiesta all'endpoint di logout non è un URL di disconnessione, ma un post-sign-in URL che si desidera trasmettere all'endpoint di autorizzazione.
Di seguito è riportato un esempio di richiesta che disconnette un utente, reindirizza alla pagina di accesso e fornisce un codice di autorizzazione dopo l'accesso. https://www.example.com
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? response_type=code& client_id=1example23456789& redirect_uri=https%3A%2F%2Fwww.example.com& state=example-state-value& nonce=example-nonce-value& scope=openid+profile+aws.cognito.signin.user.admin
