Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Token mit Benutzerpools
Authentifizieren Sie mithilfe von Token Benutzer und gewähren Sie Zugriff auf Ressourcen. Bei den Ansprüchen in Tokens handelt es sich um Informationen über Ihren Benutzer. Das ID-Token enthält Angaben zu dessen Identität, wie etwa Benutzername, Familienname und E-Mail-Adresse. Das Zugriffstoken enthält Ansprüche wie scope, womit der authentifizierte Benutzer auf APIs von Drittanbietern, Amazon-Cognito-Benutzer-Selfservice-API-Operationen und den UserInfo-Endpunkt zugreifen kann. Sowohl das Zugriffs- als auch das ID-Token enthalten einen cognito:groups-Anspruch mit der Gruppenmitgliedschaft Ihres Benutzers in Ihrem Benutzerpool. Weitere Informationen zu Benutzerpoolgruppen finden Sie unter Hinzufügen von Gruppen zu einem Benutzerpool.
Amazon Cognito bietet außerdem auch Refresh-Token, mit denen Sie neue Token abrufen oder vorhandene Token widerrufen können. Aktualisieren Sie ein Token, um eine neue ID und Zugriffstoken abzurufen. Widerrufen Sie ein Token, um den Benutzerzugriff zu widerrufen, der durch Aktualisierungstoken zugelassen wird.
Amazon Cognito gibt Tokens als Base64-kodierte Zeichenfolgen aus. Sie können jede Amazon-Cognito-ID oder jedes Zugriffs-Token von Base64 in Klartext-JSON dekodieren. Amazon-Cognito-Refresh-Token sind verschlüsselt, für Benutzer und Administratoren von Benutzerpools undurchsichtig, und können nur von Ihrem Benutzerpool gelesen werden.
Authentifizieren mit Tokens
Wenn sich ein Benutzer bei Ihrer App anmeldet, überprüft Amazon Cognito die Anmeldeinformationen. Nach erfolgreicher Anmeldung erstellt Amazon Cognito eine Sitzung und gibt ein ID-, Zugriffs- und Refresh-Token für den authentifizierten Benutzer zurück. Mit diesen Token können Sie Ihren Benutzern Zugriff auf nachgelagerte Ressourcen und APIs wie Amazon API Gateway gewähren. Alternativ können Sie diese gegen temporäre AWS -Anmeldeinformationen eintauschen, um auf andere AWS-Services zugreifen zu können.
Speichern von Token
Ihre App muss Token unterschiedlicher Größe speichern können. Die Tokengröße kann sich unter anderem aus Gründen zusätzlicher Ansprüche, Änderungen der Kodierungsalgorithmen und Änderungen der Verschlüsselungsalgorithmen ändern. Wenn Sie den Token-Widerruf in Ihrem Benutzerpool aktivieren, fügt Amazon Cognito JSON Web Tokens zusätzliche Anforderungen hinzu und erhöht deren Größe. Die neuen Ansprüche origin_jti und jti werden zu Zugriffs- und ID-Token hinzugefügt. Weitere Informationen zum Widerrufen von Token finden Sie unter Widerrufen von Token.
Wichtig
Eine bewährte Methode ist, alle Token während der Übertragung und Speicherung im Kontext Ihrer Anwendung zu sichern. Token können persönlich identifizierende Informationen über Ihre Benutzer und Informationen über das Sicherheitsmodell enthalten, das Sie für Ihren Benutzerpool verwenden.
Anpassen von Token
Sie können die Zugriffs- und ID-Token anpassen, die Amazon Cognito an Ihre App weitergibt. In einer Lambda-Auslöser für die Vorab-Generierung von Token können Sie Token-Ansprüche hinzufügen, ändern und unterdrücken. Der Trigger für Pre-Token-Generierung ist eine Lambda-Funktion, an die Amazon Cognito einen Standardsatz von Ansprüchen sendet. Zu den Ansprüchen gehören OAuth-2.0-Bereiche, die Mitgliedschaft in Benutzerpoolgruppen, Benutzerattribute und mehr. Die Funktion kann dann die Gelegenheit nutzen, Änderungen zur Laufzeit vorzunehmen und die aktualisierten Token-Ansprüche an Amazon Cognito zurückzugeben.
Für die Anpassung des Zugriffs-Token bei Ereignissen der Version 2 fallen zusätzliche Kosten an. Weitere Informationen finden Sie unter Amazon Cognito – Preise
Themen
