メニュー
Amazon Cognito
開発者ガイド (Version 最終更新日: 2017 年 8 月 26 日)

認証エンドポイント

/oauth2/authorize エンドポイントはユーザーをサインインさせます。

GET /oauth2/authorize

/oauth2/authorize エンドポイントは HTTPS GET のみをサポートします。ユーザープールクライアントは、通常このリクエストをシステムブラウザ経由で行います。通常は Android の Custom Chrome Tab や iOS の Safari View Control です。

リクエストパラメータ

response_type

レスポンスのタイプ。code または token を指定する必要があります。クライアントがエンドユーザーの認証コードを求めるか (認証コード付与フロー)、エンドユーザーに直接トークンを発行するか (暗黙的フロー) を示します。

必須

client_id

クライアント ID。

ユーザープール事前登録されたクライアントである必要があり、フェデレーションが有効になっている必要があります。

必須

redirect_uri

認証がユーザーに付与された後、認証サーバーによってブラウザがリダイレクトされる URL です。

事前にクライアントに登録されている必要があります。

必須

state

クライアントが初期リクエストに追加する OPAQUE 値。認証サーバーはクライアントにリダイレクトして戻るときに、この値を含めます。

この値は、CSRF 攻撃を防ぐために、クライアントで使用する必要があります。

オプションですが、強くお勧めします。

identity_provider

開発者が特定のプロバイダに直接認証するために使用されます。

オプション

idp_identifier

開発者がプロバイダ名を公開せずにプロバイダ名にマッピングするために使用します。

オプション

scope

クライアントに関連付けられた任意のシステム予約されたスコープまたはカスタムスコープを組み合わせることができます。スコープはスペースで区切る必要があります。システム予約されたスコープは openidemailphoneprofile、および aws.cognito.signin.user.admin です。使用するスコープはクライアントにあらかじめ関連付けられている必要があります。これを行わない場合、実行時に無視されます。

クライアントがスコープをリクエストしない場合、認証サーバーはクライアントに関連付けられているすべてのスコープを使用します。

ID トークンは openid スコープがリクエストされた場合にのみ返されます。アクセストークンは、aws.cognito.signin.user.admin スコープがリクエストされた場合に、Amazon Cognito ユーザープールに対してのみ使用されます。phoneemail、および profile スコープは、openid スコープがリクエストされた場合にのみリクエストできます。これらのスコープは ID トークン内でクレームを記述します。

オプション

code_challenge_method

チャレンジを生成するために使用されるメソッドです。PKCE RFC では S256 および plain の 2 つのメソッドが定義されていますが、Amazon Cognito 認証サーバーでは S256 のみがサポートされています。

オプション

code_challenge

code_verifier から生成されたチャレンジ。

code_challenge_method が指定された場合にのみ必須です。

正しいリクエストの例

リクエスト例: 認証コード付与リクエスト

Copy
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=code& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=openid+profile+aws.cognito.signin.user.admin

レスポンス例

Amazon Cognito 認証サーバーは認証コードとステートを伴ってリダイレクトしアプリに戻ります。コードとステートはフラグメントではなく、クエリ文字列パラメータで返される必要があります。クエリ文字列はウェブリクエストの一部で、「?」文字の後に追加されます。この文字列には「&」文字で区切られたパラメータを 1 つ以上含めることができます。フラグメントはウェブリクエストの一部で「#」文字の後に追加され、ドキュメントのサブセクションを指定します。

HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri?code=AUTHORIZATION_CODE&state=STATE

リクエスト例: PKCE を使用した認証コード付与リクエスト

Copy
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=code& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=aws.cognito.signin.user.admin& code_challenge_method=S256& code_challenge=CODE_CHALLENGE

レスポンス例

認証サーバーは認証コードとステートを伴ってリダイレクトしアプリに戻ります。コードとステートはフラグメントではなく、クエリ文字列パラメータで返される必要があります。

HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri?code=AUTHORIZATION_CODE&state=STATE

リクエスト例: openidスコープを指定しないトークン付与リクエスト

Copy
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=token& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=aws.cognito.signin.user.admin

レスポンス例

Amazon Cognito 認証サーバーはアクセストークンを伴ってリダイレクトしアプリに戻ります。openid スコープがリクエストされなかったため、ID トークンは返されません。更新トークンがこのフローで返されることはありません。トークンとステートはクエリ文字列ではなくフラグメントで返されます。

HTTP/1.1 302 Found 
Location: https://YOUR_APP/redirect_uri#access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE

リクエスト例: openidスコープを指定したトークン付与リクエスト

Copy
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=token& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope aws.cognito.signin.user.admin+openid+profile

レスポンス例

認証サーバーはアクセストークンと ID トークンを伴ってリダイレクトしアプリに戻ります (openid スコープが含まれていたため)。

HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_ur#id_token=ID_TOKEN&access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE

誤ったリクエストの例

誤ったリクエストの例を次に示します。

  • client_id および redirect_uri が有効だがリクエストパラメータに他の問題 (たとえば、response_type が含まれていない、code_challenge が指定されているが code_challenge_method が指定されていない、code_challenge_method が「S256」など) がある場合、認証サーバーはクライアントの redirect_uri にエラーをリダイレクトします。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request

  • クライアントが response_type に「code」または「token」をリクエストしたが、これらのリクエストの権限を持っていない場合、Amazon Cognito 認証サーバーは次のように unauthorized_client をクライアントの redirect_uri に返します。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=unauthorized_client

  • クライアントのリクエストが無効、不明、誤った形式のスコープの場合は、Amazon Cognito 認証サーバーは次のように invalid_scope をクライアントの redirect_uri に返す必要があります。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_scope

  • サーバーで予期しないエラーがある場合は、認証サーバーは server_error をクライアントの redirect_uri に返す必要があります。エンドユーザーのブラウザに HTTP 500 エラーが表示されてはいけません。このエラーはクライアントに送信されることはありません。以下のエラーが返されます。

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=server_error

このページの内容: