Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Widerrufen von Token
Sie können ein Aktualisierungstoken für einen Benutzer mithilfe der AWS API widerrufen. Wenn Sie ein Aktualisierungstoken widerrufen, werden alle Zugriffstoken, die zuvor von diesem Aktualisierungstoken ausgegeben wurden, ungültig. Die anderen Aktualisierungstoken, die an den Benutzer ausgegeben wurden, sind nicht betroffen.
Anmerkung
JWT-Token sind eigenständig mit einer Signatur und einer Ablaufzeit, die beim Erstellen des Token zugewiesen wurde. Widerrufene Token können nicht mit Amazon-Cognito-API-Aufrufen verwendet werden, die ein Token erfordern. Widerrufene Token sind jedoch weiterhin gültig, wenn sie mit einer beliebigen JWT-Bibliothek verifiziert werden, die die Signatur und den Ablauf des Tokens verifiziert.
Sie können ein Aktualisierungstoken für einen Benutzerpoolclient mit aktiviertem Tokenwiderruf widerrufen. Wenn Sie einen neuen Benutzerpool-Client erstellen, ist der Tokenwiderruf standardmäßig aktiviert.
Tokenwiderruf aktivieren
Bevor Sie ein Token für einen vorhandenen Benutzerpool-Client widerrufen können, müssen Sie den Tokenwiderruf aktivieren. Sie können den Tokenwiderruf für vorhandene Benutzerpool-Clients mithilfe der AWS CLI oder der AWS API aktivieren. Rufen Sie dazu den aws cognito-idp
describe-user-pool-client CLI-Befehl oder die DescribeUserPoolClient API-Operation auf, um die aktuellen Einstellungen von Ihrem App-Client abzurufen. Dann rufen Sie den aws
cognito-idp update-user-pool-client CLI-Befehl oder die UpdateUserPoolClient API-Operation auf. Fügen Sie die aktuellen Einstellungen von Ihrem App-Client hinzu und setzen Sie den Parameter EnableTokenRevocation auf true.
Wenn Sie einen neuen Benutzerpool-Client mit der AWS CLI, AWS Management Console der oder der AWS -API erstellen, ist der Tokenwiderruf standardmäßig aktiviert.
Nachdem Sie den Token-Widerruf aktiviert haben, werden neue Anforderungen in den JSON-Web-Tokens von Amazon Cognito hinzugefügt. Die origin_jti- und jti-Ansprüche werden zu Zugriffs- und ID-Token hinzugefügt. Diese Ansprüche erhöhen die Größe des Anwendungsclient-Zugriffs und ID-Tokens.
Um einen App-Client mit aktiviertem Token-Widerruf zu erstellen oder zu ändern, fügen Sie den folgenden Parameter in Ihre - CreateUserPoolClient oder UpdateUserPoolClient-API-Anfrage ein.
"EnableTokenRevocation":true
Widerrufen eines Token
Sie können ein Aktualisierungstoken mithilfe einer RevokeToken API-Anfrage widerrufen, z. B. mit dem aws cognito-idp revoke-token CLI-Befehl . Sie können Token auch mit dem Widerrufen des Endpunkts widerrufen. Dieser Endpunkt ist verfügbar, nachdem Sie Ihrem Benutzerpool eine Domäne hinzugefügt haben. Sie können den Widerrufsendpunkt entweder auf einer von Amazon Cognito gehosteten Domäne oder auf Ihrer eigenen benutzerdefinierten Domäne verwenden.
Anmerkung
Ihre Widerrufsanforderung für ein Aktualisierungstoken muss dieselbe Client-ID beinhalten, die zum Abrufen des Tokens verwendet wurde.
Es folgt ein Beispiel für eine RevokeToken-API-Anforderung.
{ "ClientId": "1example23456789", "ClientSecret": "abcdef123456789ghijklexample", "Token": "eyJjdHkiOiJKV1QiEXAMPLE" }
Es folgt ein Beispiel für eine cURL-Anforderung an den Endpunkt /oauth2/revoke eines Benutzerpools mit einer benutzerdefinierten Domain.
curl --location 'auth.mydomain.com/oauth2/revoke' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --header 'Authorization: BasicBase64Encode(client_id:client_secret)' \ --data-urlencode 'token=abcdef123456789ghijklexample' \ --data-urlencode 'client_id=1example23456789'
Die Operation RevokeToken und der Endpunkt /oauth2/revoke erfordern keine zusätzliche Autorisierung, es sei denn, Ihr App-Client verfügt über einen geheimen Client-Schlüssel.
