As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo os tokens JSON da web do pool de usuários (JWTs)
Os tokens autenticam usuários e concedem acesso aos recursos. As reivindicações em tokens são informações sobre o usuário. O token de ID contém declarações sobre a identidade dele, como nome de usuário, nome de família e endereço de e-mail. O token de acesso contém declarações como as scope que o usuário autenticado pode usar para acessar operações de API autoatendimento de usuários de terceiros APIs do Amazon Cognito e o. userInfo ponto final Tanto o token de acesso quanto o de ID incluem uma declaração cognito:groups que contém a associação do usuário ao grupo de usuários. Para obter mais informações sobre grupos de usuários, consulte Como adicionar grupos a um grupo de usuários.
O Amazon Cognito também tem tokens de atualização que você pode usar para obter novos tokens ou revogar tokens existentes. Refresh a token (Atualizar um token) para recuperar novos tokens de ID e de acesso. Revogar um token para revogar o acesso de usuário permitido por tokens de atualização.
O Amazon Cognito emite tokens como strings codificadas em Base64. Você pode decodificar qualquer ID ou token de acesso do Amazon Cognito de base64 para texto sem formatação. JSON Os tokens de atualização do Amazon Cognito são criptografados, opacos para usuários e administradores de grupos de usuários e só podem ser lidos pelo seu grupo de usuários.
Autenticação com tokens
Quando um usuário faz login na sua aplicação, o Amazon Cognito verifica as informações de login. Se o login for bem-sucedido, o Amazon Cognito criará uma sessão e retornará um token de ID, um de acesso e um de atualização para o usuário autenticado. Você pode usar os tokens para conceder aos seus usuários acesso a recursos downstream, APIs como o Amazon API Gateway. Outra opção é trocá-los por credenciais da AWS temporárias para acessar outros Serviços da AWS.
Armazenar tokens
Sua aplicação deve ser capaz de armazenar tokens de tamanhos variados. O tamanho do token pode mudar por vários motivos, entre eles, declarações adicionais, alterações nos algoritmos de codificação e alterações nos algoritmos de criptografia. Quando você ativa a revogação de tokens em seu grupo de usuários, o Amazon Cognito adiciona reivindicações adicionais JSON aos Web Tokens, aumentando seu tamanho. As novas declarações origin_jti e jti são adicionadas aos tokens de acesso e ID. Para obter mais informações sobre revogação de tokens, consulte Como revogar tokens.
Importante
Como prática recomendada, proteja todos os tokens em trânsito e no armazenamento no contexto da aplicação. Os tokens podem conter informações de identificação pessoal sobre seus usuários e informações sobre o modelo de segurança que você usa para o grupo de usuários.
Personalização de tokens
É possível personalizar os tokens de acesso e ID transmitidos pelo Amazon Cognito à aplicação. Em um Acionador do Lambda antes da geração do token, é possível adicionar, modificar e suprimir declarações de token. O gatilho de pré-geração de tokens é uma função do Lambda para a qual o Amazon Cognito envia um conjunto padrão de declarações. As reivindicações incluem escopos OAuth 2.0, associação a grupos de grupos de usuários, atributos do usuário e outros. A função pode então aproveitar a oportunidade para fazer alterações em runtime e retornar declarações de token atualizadas para o Amazon Cognito.
Custos adicionais se aplicam à personalização do token de acesso com eventos da versão 2. Para mais informações, consulte Preços do Amazon Cognito
Tópicos
