アクセストークンについて - Amazon Cognito
アクセストークンのヘッダーアクセストークンのデフォルトペイロードアクセストークンの署名

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセストークンについて

ユーザープールアクセストークンには、認証されたユーザーに関するクレーム、ユーザーのグループのリスト、およびスコープのリストが含まれます。アクセストークンの目的は、APIオペレーションを承認することです。ユーザープールは、ユーザーのセルフサービスオペレーションを許可するアクセストークンを受け入れます。例えば、アクセストークンを使用して、ユーザーにユーザー属性を追加、変更、または削除するアクセス権を付与することができます。

アクセストークン内の OAuth2.0 スコープは、ユーザープールに追加するカスタムスコープから派生するため、 から情報を取得することをユーザーに許可できますAPI。例えば、Amazon API Gateway は Amazon Cognito アクセストークンによる認可をサポートしています。REST API オーソライザーにはユーザープールからの情報を入力するか、Amazon Cognito を HTTP のJSONウェブトークン (JWT) オーソライザーとして使用できますAPI。カスタムスコープでアクセストークンを生成するには、ユーザープールのパブリックエンドポイントを通じてアクセストークンをリクエストする必要があります。

ユーザーのアクセストークンは、userInfo エンドポイント からユーザーの属性に関する詳細情報をリクエストするためのアクセス許可です。ユーザーのアクセストークンは、ユーザー属性の読み取りと書き込みのアクセス許可でもあります。アクセストークンによって付与される属性へのアクセスレベルは、アプリクライアントに割り当てるアクセス許可と、トークンで付与するスコープによって異なります。

アクセストークンはJSONウェブトークン (JWT) です。アクセストークンのヘッダーは ID トークンと同じ構造になっていますが、Amazon Cognito は、ID トークンに署名するキーとは異なるキーでアクセストークンに署名します。アクセスキー ID (kid) クレームの値は、同じユーザーセッションの ID トークンの kid クレームの値と一致しません。アプリコードで、ID トークンとアクセストークンを個別に検証します。署名を検証するまでは、アクセストークンのクレームを信用しないでください。詳細については、「JSON ウェブトークンの検証」を参照してください。アクセストークンの有効期限は、5 分から 1 日までの間で任意の値に設定できます。この値は、アプリケーションのクライアントごとに設定できます。

重要

ホストされた UI を使用する場合、アクセストークンと ID トークンには、1 時間未満の最小値を指定しないでください。Amazon Cognito HostedUI は、有効期間が 1 時間のクッキーを使用します。最小値として 1 時間未満を入力した場合でも、有効期間は 1 時間より短くなりません。

アクセストークンのヘッダー

ヘッダーには 2 つの情報 (キー ID: kid、アルゴリズム: alg) が含まれています。

{
"kid" : "1234example="
"alg" : "RS256",
}
kid

キー ID。その値は、トークンのJSONウェブ署名 (JWS) を保護するために使用されたキーを示します。ユーザープールの署名キーはjwks_uriエンドポイントIDsで表示できます。

kid パラメータの詳細については、「Key identifier (kid) header parameter」を参照してください。

alg

Amazon Cognito が、アクセストークンをセキュア化するために使用した暗号化アルゴリズム。ユーザープールは暗号化RS256アルゴリズムを使用します。これは SHA-256 RSAの署名です。

alg パラメータの詳細については、「Algorithm (alg) header parameter」を参照してください。

アクセストークンのデフォルトペイロード

以下は、アクセストークンのサンプルペイロードです。詳細については、JWT「クレーム」を参照してください。を使用して、独自の設計のクレームを追加できますトークン生成前の Lambda トリガー

<header>.
{
   "sub":"aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
   "device_key": "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
   "cognito:groups":[
      "testgroup"
   ],
   "iss":"https://cognito-idp.us-west-2.amazonaws.com/us-west-2_example",
   "version":2,
   "client_id":"xxxxxxxxxxxxexample",
   "origin_jti":"aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
   "event_id":"aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
   "token_use":"access",
   "scope":"phone openid profile resourceserver.1/appclient2 email",
   "auth_time":1676313851,
   "exp":1676317451,
   "iat":1676313851,
   "jti":"aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee",
   "username":"my-test-user"
}
.<token signature>
sub

認証されたユーザーの一意の識別子 (UUID)、または件名。ユーザー名はユーザープール内で一意ではない可能性があります。sub クレームは、特定のユーザーを識別する最良の方法です。

cognito:groups

ユーザーをメンバーとするユーザープールグループの名前の配列。

iss

トークンを発行した ID プロバイダー。クレームは以下のような形式になります。

https://cognito-idp.<Region>.amazonaws.com/<your user pool ID>

client_id

ユーザーを認証したユーザープールアプリクライアント。Amazon Cognito は、ID トークン aud クレームで同じ値をレンダリングします。

origin_jti

ユーザーの更新トークンに関連付けられたトークン失効識別子。Amazon Cognito は、 エンドポイントの取り消しまたは RevokeTokenAPIオペレーションでユーザーのトークンを取り消したかどうかをチェックするときにorigin_jti、クレームを参照します。トークンを取り消すと、Amazon Cognito は同じ origin_jti 値を持つすべてのアクセストークンと ID トークンを無効にします。

token_use

トークンの本来の目的。アクセストークンでは、その値は access です。

scope

トークンが提供するアクセスを定義する 2.0 OAuth スコープのリスト。トークンエンドポイント のトークンには、アプリクライアントがサポートする任意のスコープを含めることができます。Amazon Cognito APIサインインのトークンには、スコープ のみが含まれますaws.cognito.signin.user.admin

auth_time

ユーザーが認証を完了した認証時刻 (Unix の時間形式)。

exp

ユーザーのトークンの有効期限が切れる有効期限 (Unix の時間形式)。

iat

Amazon Cognito がユーザーのトークンを発行した発行時刻 (Unix の時間形式)。

jti

の一意の識別子JWT。

username

ユーザープール内のユーザーのユーザー名。

その他のリソース

アクセストークンの署名

アクセストークンの署名は、JWTトークンのヘッダーとペイロードに基づいて計算されます。ウェブ 内のアプリケーション外で使用する場合APIs、トークンを受け入れる前に、常にこの署名を検証する必要があります。詳細については、「JSON ウェブトークンの検証」を参照してください。