Gerencie métodos de autenticação em AWS SDKs - Amazon Cognito
Autenticação baseada em opçõesAutenticação baseada no cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie métodos de autenticação em AWS SDKs

Os usuários dos grupos de usuários do Amazon Cognito podem fazer login com uma variedade de opções ou fatores de login inicial. Por alguns fatores, os usuários podem fazer o acompanhamento com a autenticação multifator (MFA). Esses primeiros fatores incluem nome de usuário e senha, senha de uso único, chave de acesso e autenticação personalizada. Para obter mais informações, consulte Fluxos de autenticação. Quando seu aplicativo tem componentes de interface de usuário integrados e importa um módulo AWS SDK, você deve criar a lógica do aplicativo para autenticação. Você deve escolher um dos dois métodos principais e, a partir desse método, os mecanismos de autenticação que deseja implementar.

Você pode implementar a autenticação baseada no cliente em que seu aplicativo, ou cliente, declara o tipo de autenticação com antecedência. Sua outra opção é a autenticação baseada em escolhas, em que seu aplicativo coleta um nome de usuário e solicita os tipos de autenticação disponíveis para os usuários. Você pode implementar esses modelos juntos no mesmo aplicativo ou dividi-los entre clientes de aplicativos, de acordo com seus requisitos. Cada método tem recursos exclusivos, por exemplo, autenticação personalizada com base no cliente e autenticação sem senha com base em escolhas.

Em aplicativos personalizados que realizam autenticação com a implementação do AWS SDK da API de grupos de usuários, você deve estruturar suas solicitações de API para que se alinhem à configuração do grupo de usuários, à configuração do cliente do aplicativo e às preferências do lado do cliente. Uma InitiateAuth sessão que começa com um AuthFlow de USER_AUTH começa com a autenticação baseada em opções. O Amazon Cognito responde à sua API com o desafio de um método de autenticação preferencial ou de uma lista de opções. Uma sessão que começa com AuthFlow ou CUSTOM_AUTH vai direto para a autenticação personalizada com acionadores Lambda.

Alguns métodos de autenticação são fixados em um dos dois tipos de fluxo, e alguns métodos estão disponíveis em ambos.

Autenticação baseada em opções

Seu aplicativo pode solicitar os seguintes métodos de autenticação na autenticação baseada em opções.

  1. EMAIL_OTP e SMS_OTP

    Login sem senha com senhas de uso único

  2. WEB_AUTHN

    Login com chave de acesso

  3. PASSWORD

    Faça login com senhas persistentes

    Faça login com senhas persistentes e carga segura

    MFA após o login

Para revisar essas opções em seu contexto de API, consulte ChallengeName em RespondToAuthChallenge.

O login baseado em opções gera um desafio em resposta à sua solicitação inicial. Esse desafio verifica se a opção solicitada está disponível ou fornece uma lista das opções disponíveis. Seu aplicativo pode exibir essas opções para os usuários, que então inserem as credenciais do método de login preferido e prosseguem com a autenticação nas respostas ao desafio.

Você tem as seguintes opções baseadas em escolhas em seu fluxo de autenticação. Todas as solicitações desse tipo exigem que seu aplicativo primeiro colete um nome de usuário ou o recupere de um cache.

  1. Solicite opções USERNAME apenas com AuthParameters ou. O Amazon Cognito retorna um SELECT_CHALLENGE desafio. A partir daí, seu aplicativo pode solicitar que o usuário selecione um desafio e retorne essa resposta ao seu grupo de usuários.

  2. Solicite um desafio preferido com AuthParameters ofPREFERRED_CHALLENGE. Se seu usuário, grupo de usuários e cliente do aplicativo estiverem todos configurados para o desafio preferido, o Amazon Cognito responderá com esse desafio. Se o desafio preferido não estiver disponível, o Amazon Cognito responderá com SELECT_CHALLENGE uma lista dos desafios disponíveis.

  3. Primeiro, conecte os usuários e, em seguida, solicite suas opções de autenticação com base em suas escolhas. Uma GetUserAuthFactorssolicitação com o token de acesso de um usuário conectado retorna seus fatores de autenticação baseados em opções disponíveis e suas configurações de MFA. Com essa opção, um usuário pode primeiro entrar com nome de usuário e senha e depois ativar uma forma diferente de autenticação. Você também pode usar essa operação para verificar opções adicionais para um usuário que tenha feito login com um desafio preferido.

Autenticação baseada no cliente

A autenticação baseada no cliente oferece suporte aos seguintes fluxos de autenticação.

  1. USER_PASSWORD_AUTH e ADMIN_USER_PASSWORD_AUTH

    Faça login com senhas persistentes

    MFA após o login

  2. USER_SRP_AUTH

    Faça login com senhas persistentes e carga segura

    MFA após o login

  3. REFRESH_TOKEN_AUTH

    Tokens de atualização

  4. CUSTOM_AUTH

    Autenticação personalizada

A autenticação baseada no cliente pressupõe que seu aplicativo determinou como o usuário deseja se autenticar antes de iniciar um fluxo de autenticação. A InitiateAuth solicitação declara um login AuthFlow que corresponde diretamente a uma das opções listadas, por exemplo. USER_SRP_AUTH Com essa declaração, a solicitação também inclui os parâmetros para iniciar a autenticaçãoUSERNAME, por exemploSECRET_HASH, SRP_A e. O Amazon Cognito pode acompanhar essa solicitação com desafios adicionais, como SRP ou login PASSWORD_VERIFIER SOFTWARE_TOKEN_MFA por senha com TOTP MFA.