사용자 존재 오류 응답 관리 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 존재 오류 응답 관리

Amazon Cognito는 사용자 풀에서 반환하는 오류 응답을 사용자 지정하도록 지원합니다. 사용자 지정 오류 응답은 사용자 생성, 인증, 암호 복구 및 확인 작업에 사용할 수 있습니다.

사용자 풀 앱 클라이언트의 PreventUserExistenceErrors 설정을 사용하여 사용자 존재 여부와 관련한 오류를 사용하거나 사용하지 않도록 설정합니다. Amazon Cognito 사용자 풀을 사용하여 새 앱 클라이언트를 생성할 때 APIPreventUserExistenceErrors는 기본적으로 LEGACY또는 비활성화되어 있습니다. Amazon Cognito 콘솔에서 사용자 존재 오류 방지 -에 ENABLED 대한 설정 PreventUserExistenceErrors- 옵션이 기본적으로 선택됩니다. PreventUserExistenceErrors 구성을 업데이트하려면 다음 중 하나를 수행합니다.

  • 에서 ENABLEDPreventUserExistenceErrors 사이의 값 변경 LEGACY UpdateUserPoolClient API 요청.

  • Amazon Cognito 콘솔에서 앱 클라이언트를 편집하고 선택한 (ENABLED)와 선택 취소된 () 사이에서 사용자 존재 방지 오류의 상태를 변경합니다LEGACY.

이 속성의 값이 이면 LEGACY앱 클라이언트는 사용자가 사용자 풀에 없는 사용자 이름으로 로그인하려고 할 때 UserNotFoundException 오류 응답을 반환합니다.

이 속성의 값이 인 경우 ENABLED앱 클라이언트는 UserNotFoundException 오류와 함께 사용자 풀에 사용자 계정이 존재하지 않음을 공개하지 않습니다. 의 PreventUserExistenceErrors 구성ENABLED에는 다음과 같은 효과가 있습니다.

  • Amazon Cognito는 응답이 유효한 사용자가 있음을 공개할 수 있는 API 요청에 비특정 정보로 응답합니다.

  • Amazon Cognito 로그인 및 암호 분실은 일반 인증 실패 응답을 APIs 반환합니다. 이 오류 응답은 사용자 이름 또는 암호가 잘못되었음을 나타냅니다.

  • Amazon Cognito 계정 확인 및 암호 복구는 사용자 연락처 정보를 부분적으로 나타내는 대신 코드가 시뮬레이션된 전송 미디어로 전송되었음을 나타내는 응답을 APIs 반환합니다.

다음 정보는 가 로 PreventUserExistenceErrors 설정된 경우 사용자 풀 작업의 동작을 자세히 설명합니다ENABLED.

인증 및 사용자 생성 작업

사용자 이름 암호보안 원격 암호(SRP) 인증 모두에서 오류 응답을 구성할 수 있습니다. 사용자 지정 인증으로 반환하는 오류를 사용자 지정할 수도 있습니다. 다음은 이러한 인증 작업을 APIs 수행합니다.

  • AdminInitiateAuth

  • AdminRespondToAuthChallenge

  • InitiateAuth

  • RespondToAuthChallenge

다음 목록은 사용자 인증 작업에서 오류 응답을 사용자 지정하는 방법을 보여줍니다.

사용자 이름 및 암호 인증

ADMIN_USER_PASSWORD_AUTH 및 를 사용하여 에서 사용자에 로그인하려면 AdminInitiateAuth 또는 InitiateAuth API 요청에 사용자 이름과 암호를 USER_PASSWORD_AUTH포함합니다. 사용자 이름 또는 암호가 올바르지 않으면 Amazon Cognito는 일반 NotAuthorizedException 오류를 반환합니다.

보안 원격 암호(SRP) 기반 인증

를 사용하여 에서 사용자에 로그인하려면 AdminInitiateAuth 또는 InitiateAuth API 요청에 사용자 이름과 SRP_A 파라미터를 USER_SRP_AUTH포함합니다. 이에 대한 응답으로 Amazon Cognito는 사용자를 위해 SRP_B 및 솔트를 반환합니다. 사용자를 찾을 수 없는 경우 Amazon Cognito는 RFC 5054에 설명된 대로 첫 번째 단계에서 시뮬레이션된 응답을 반환합니다. Amazon Cognito는 동일한 사용자 이름 및 사용자 풀 조합에 대해 동일한 솔트와 내부 사용자 ID를 UUID 형식으로 반환합니다. 암호 증명과 함께 RespondToAuthChallenge API 요청을 보내면 사용자 이름 또는 암호가 올바르지 않은 경우 Amazon Cognito가 일반 NotAuthorizedException 오류를 반환합니다.

참고

검증 기반 별칭 속성을 사용하고 있고 변경할 수 없는 사용자 이름이 로 포맷되지 않은 경우 사용자 이름과 암호 인증을 사용하여 일반 응답을 시뮬레이션할 수 있습니다UUID.

사용자 지정 인증 문제 Lambda 트리거

사용자 지정 인증 문제 Lambda 트리거를 사용하고 오류 응답을 사용하는 경우 LambdaChallengeUserNotFound라는 부울 파라미터를 반환합니다. 이 파라미터는 DefineAuthChallenge, VerifyAuthChallengeCreateAuthChallenge Lambda 트리거의 요청에 전달됩니다. 이 트리거를 사용하여 존재하지 않는 사용자에 대해 사용자 지정 권한 부여 문제를 시뮬레이션할 수 있습니다. 존재하지 않는 사용자에 대해 사전 인증 Lambda 트리거를 호출하면 Amazon Cognito가 UserNotFound를 반환합니다.

다음 목록은 사용자 생성 작업에서 오류 응답을 사용자 지정하는 방법을 보여줍니다.

SignUp

사용자 UsernameExistsException 이름이 이미 사용 중이면 SignUp 작업은 항상 반환됩니다. 앱에서 사용자를 등록할 때 Amazon Cognito가 이메일 주소 및 전화번호에 대한 UsernameExistsException 오류를 반환하지 않게 하려면, 확인 기반 별칭 속성을 사용해야 합니다. 별칭에 대한 자세한 내용은 로그인 속성 사용자 지정을 참조하십시오.

Amazon Cognito가 사용자 풀에서 사용자를 검색하기 위한 SignUp API 요청 사용을 방지하는 방법의 예는 섹션을 참조하세요가입 시 이메일 주소 및 전화 번호 관련 UsernameExistsException 오류 방지.

가져온 사용자

PreventUserExistenceErrors를 사용하는 경우 가져온 사용자를 인증하는 중에 PasswordResetRequiredException이 반환되지 않고 대신 사용자 이름 또는 암호가 잘못되었음을 나타내는 일반 NotAuthorizedException 오류가 반환됩니다. 자세한 내용은 가져온 사용자에게 암호 재설정 요구를 참조하세요.

사용자 마이그레이션 Lambda 트리거

Amazon Cognito는 Lambda 트리거에서 원래 이벤트 컨텍스트에 빈 응답이 설정된 경우 존재하지 않는 사용자에 대해 시뮬레이션된 응답을 반환합니다. 자세한 내용은 사용자 마이그레이션 Lambda 트리거를 참조하세요.

가입 시 이메일 주소 및 전화 번호 관련 UsernameExistsException 오류 방지

다음 예제에서는 사용자 풀에서 별칭 속성을 구성할 때 중복된 이메일 주소와 전화번호가 SignUp API 요청에 대한 응답으로 UsernameExistsException 오류를 생성하지 않도록 하는 방법을 보여줍니다. 이메일 주소나 전화 번호를 별칭 속성으로 사용하여 사용자 풀을 생성해야 합니다. 자세한 내용은 사용자 풀 속성로그인 특성 사용자 지정 섹션을 참조하세요.

  1. Jie는 새 사용자 이름을 등록하고 이메일 주소(jie@example.com)도 입력합니다. Amazon Cognito가 이 이메일 주소로 확인 코드를 전송합니다.

    예제 AWS CLI 명령

    aws cognito-idp sign-up --client-id 1234567890abcdef0 --username jie --password PASSWORD --user-attributes Name="email",Value="jie@example.com"

    응답의 예

    { "UserConfirmed": false, "UserSub": "<subId>", "CodeDeliveryDetails": { "AttributeName": "email", "Destination": "j****@e****", "DeliveryMedium": "EMAIL" } }
  2. Jie는 전송된 코드를 입력하여 이메일 주소의 소유권을 확인합니다. 이로써 사용자 등록이 완료됩니다.

    예제 AWS CLI 명령

    aws cognito-idp confirm-sign-up --client-id 1234567890abcdef0 --username=jie --confirmation-code xxxxxx
  3. Shirley는 새 사용자 계정을 등록하고 이메일 주소(jie@example.com)를 입력합니다. Amazon Cognito는 UsernameExistsException 오류를 반환하지 않고, Jie의 이메일 주소로 확인 코드를 보냅니다.

    예제 AWS CLI 명령

    aws cognito-idp sign-up --client-id 1234567890abcdef0 --username shirley --password PASSWORD --user-attributes Name="email",Value="jie@example.com"

    응답의 예

    { "UserConfirmed": false, "UserSub": "<new subId>", "CodeDeliveryDetails": { "AttributeName": "email", "Destination": "j****@e****", "DeliveryMedium": "EMAIL" } }
  4. 다른 시나리오에서는 Shirley 가 jie@example.com에 대한 소유권을 가집니다. 셜리는 Amazon Cognito가 Jie의 이메일 주소로 보낸 코드를 검색하고 계정 확인을 시도합니다.

    예제 AWS CLI 명령

    aws cognito-idp confirm-sign-up --client-id 1234567890abcdef0 --username=shirley --confirmation-code xxxxxx

    응답의 예

    An error occurred (AliasExistsException) when calling the ConfirmSignUp operation: An account with the email already exists.

jie@example.com이 기존 사용자에게 할당되었지만 Amazon Cognito는 Shirley의 aws cognito-idp sign-up 요청에 대해 오류를 반환하지 않습니다. Shirley는 Amazon Cognito가 오류 응답을 반환하기 전에 이메일 주소의 소유권을 입증해야 합니다. 별칭 속성이 있는 사용자 풀에서 이 동작은 퍼블릭을 사용하여 지정된 이메일 주소 또는 전화번호로 사용자가 존재하는지 확인하는 SignUp API 것을 방지합니다.

이 동작은 다음 예에서처럼 Amazon Cognito가 기존 사용자 이름과 함께 SignUp 요청에 반환하는 응답과는 다릅니다. Shirley는 이 응답을 통해 사용자 이름이 jie인 사용자가 이미 존재함을 알게 되지만, 이 사용자와 관련된 이메일 주소나 전화번호는 알지 못합니다.

CLI 명령 예

aws cognito-idp sign-up --client-id 1example23456789 --username jie --password PASSWORD --user-attributes Name="email",Value="shirley@example.com"

응답의 예

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

암호 재설정 작업

Amazon Cognito는 사용자 존재 오류를 방지하면 사용자 암호 재설정 작업에 다음과 같은 응답을 반환합니다.

ForgotPassword

사용자를 찾을 수 없거나, 사용자가 비활성화되었거나, 암호를 복구할 수 있는 확인된 전달 메커니즘이 없는 경우 Amazon Cognito는 사용자에 대해 시뮬레이션된 전송 미디어와 함께 CodeDeliveryDetails를 반환합니다. 시뮬레이션된 전송 미디어는 사용자 풀의 입력 사용자 이름 형식 및 검증 설정에 따라 결정됩니다.

ConfirmForgotPassword

Amazon Cognito는 존재하지 않거나 사용 중지된 사용자에 대해 CodeMismatchException 오류를 반환합니다. ForgotPassword를 사용할 때 코드가 요청되지 않은 경우 Amazon Cognito가 ExpiredCodeException 오류를 반환합니다.

확인 작업

Amazon Cognito는 사용자 존재 오류를 방지하는 경우 사용자 확인 및 검증 작업에 다음과 같은 응답을 반환합니다.

ResendConfirmationCode

Amazon Cognito는 사용 중지되거나 존재하지 않는 사용자에 대해 CodeDeliveryDetails 오류를 반환합니다. Amazon Cognito는 기존 사용자의 이메일 또는 전화 번호로 확인 코드를 보냅니다.

ConfirmSignUp

ExpiredCodeException은 코드가 만료된 경우 반환됩니다. Amazon Cognito는 사용자에게 권한이 부여되지 않은 경우 NotAuthorizedException을 반환합니다. 서버에서 예상하는 코드와 일치하지 않는 경우 Amazon Cognito는 CodeMismatchException을 반환합니다.