Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
OAuth-2.0-Erteilungen
Der OAuth-2.0-Autorisierungsserver für den Amazon-Cognito-Benutzerpool gibt Token als Antwort auf drei Arten von OAuth-2.0-Autorisierungserteilungen
- Erteilung des Autorisierungscodes
-
Als Antwort auf Ihre erfolgreiche Authentifizierungsanforderung fügt der Autorisierungsserver Ihrer Callback-URL einen Autorisierungscode in einem
code
-Parameter an. Sie müssen dann den Code für ID-, Zugriffs- und Aktualisierungstoken durch den Token-Endpunkt ersetzen. Wenn Sie die Erteilung eines Autorisierungscodes anfordern möchten, legen Sieresponse_type
in Ihrer Anforderung aufcode
fest. Eine Beispielanforderung finden Sie unter Erteilung des Autorisierungscodes.Die Erteilung des Autorisierungscodes ist die sicherste Form der Autorisierungserteilung. Dabei werden Ihren Benutzern die Inhalte der Token nicht direkt angezeigt. Stattdessen ist Ihre App dafür zuständig, die Token Ihrer Benutzer abzurufen und sicher zu speichern. In Amazon Cognito ist die Erteilung eines Autorisierungscodes die einzige Möglichkeit, alle drei Tokentypen – ID-, Zugriffs- und Aktualisierungstoken – vom Autorisierungsserver abzurufen. Sie können alle drei Tokentypen auch durch Authentifizierung über die API von Amazon-Cognito-Benutzerpools abrufen. Die API gibt jedoch keine Zugriffstoken mit anderen Bereichen als
aws.cognito.signin.user.admin
aus. - Implizite Erteilung
-
Als Antwort auf Ihre erfolgreiche Authentifizierungsanforderung fügt der Autorisierungsserver Ihrer Callback-URL ein Zugriffstoken in einem
access_token
-Parameter und ein ID-Token in einemid_token
-Parameter an. Eine implizite Erteilung erfordert keine zusätzliche Interaktion mit dem Token-Endpunkt. Wenn Sie eine implizite Erteilung anfordern möchten, legen Sieresponse_type
in Ihrer Anforderung auftoken
fest. Die implizite Erteilung generiert nur eine ID und ein Zugriffstoken. Eine Beispielanforderung finden Sie unter Token gewähren, ohne openid-Umfang.Bei der impliziten Erteilung handelt es sich um eine ältere Autorisierungserteilung. Im Gegensatz zur Autorisierungscode-Erteilung können Benutzer Ihre Token abfangen und überprüfen. Wenn Sie die Tokenzustellung durch implizite Erteilung verhindern möchten, konfigurieren Sie Ihren App-Client so, dass er nur die Erteilung von Autorisierungscodes unterstützt.
- Client-Anmeldeinformationen
-
Bei den Kundenanmeldedaten handelt es sich nur um eine Autorisierung für den Zugriff. machine-to-machine Wenn Sie eine Erteilung von Client-Anmeldeinformationen erhalten möchten, umgehen Sie den Autorisieren des Endpunkts und generieren Sie eine Anforderung direkt an den Token-Endpunkt. Ihr App-Client muss über ein Client-Geheimnis verfügen und darf nur Erteilungen von Client-Anmeldeinformationen unterstützen. Als Antwort auf Ihre erfolgreiche Anforderung gibt der Autorisierungsserver ein Zugriffstoken zurück.
Das Zugriffstoken aus der Erteilung von Client-Anmeldeinformationen ist ein Autorisierungsmechanismus, der OAuth-2.0-Bereiche enthält. In der Regel enthält das Token benutzerdefinierte Bereichsansprüche, die HTTP-Operationen für zugriffsgeschützte APIs autorisieren. Weitere Informationen finden Sie unter Geltungsbereiche, M2M und API-Autorisierung mit Ressourcenservern.
Bei Zuschüssen mit Kundendaten fallen zusätzliche Kosten auf Ihre Rechnung an. AWS Weitere Informationen finden Sie unter Amazon Cognito – Preise
.
Weitere Informationen zu diesen Zuschüssen und ihrer Implementierung finden Sie unter So verwenden Sie OAuth 2.0 in Amazon Cognito: Erfahren Sie mehr über die verschiedenen OAuth 2.0-Zuschüsse