用户池端点和托管用户界面参考

Amazon Cognito 有两种用户池身份验证模式：使用用户池API和使用 OAuth 2.0 授权服务器。API当你想在应用程序后端检索 OpenID Connect (OIDC) 令牌时， AWS SDK请使用。如果要将用户池作为OIDC提供者来实现，请使用授权服务器。授权服务器添加了诸如联合登录、API具有访问令牌范围的 M2M 授权以及托管 UI 等功能。您可以单独使用API和OIDC模型，也可以一起使用，在用户池级别或应用程序客户端级别进行配置。本节是OIDC模型实现的参考。有关这两种身份验证模型的更多信息，请参阅使用用户池API和授权服务器。

当您向用户池分配域时，Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管 UI，您的用户可以在其中注册、登录（登录端点）和注销（注销端点)。有关这些资源的标签的更多信息，请参阅 管理托管 UI 和授权服务器。

这些页面还包括公共网络资源，允许您的用户池与第三方SAML、OpenID Connect (OIDC) 和 OAuth 2.0 身份提供商 (IdPs) 进行通信。要使用联合身份提供商登录用户，您的用户必须向交互式托管用户界面登录端点或发起请求OIDC对端点授权。授权端点将您的用户重定向到托管 UI 或 IdP 登录页面。

您的应用程序还可以通过 A mazon Cognito 用户池登录本地用户。API本地用户仅存在于您的用户池目录中，无需通过外部 IdP 进行联合身份验证。

除了托管用户界面和联合终端节点外，Amazon Cognito 还与SDKs安卓 JavaScript、iOS 等设备集成。SDKs提供了使用 Amazon Cognito API 服务终端节点执行用户池API操作的工具。有关服务端点的更多信息，请参阅 Amazon Cognito 身份端点和限额。