Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Widerrufen von Token
Sie können ein Aktualisierungstoken für einen Benutzer mit dem AWS API widerrufen. Wenn Sie ein Aktualisierungstoken widerrufen, werden alle Zugriffstoken, die zuvor von diesem Aktualisierungstoken ausgegeben wurden, ungültig. Die anderen Aktualisierungstoken, die an den Benutzer ausgegeben wurden, sind nicht betroffen.
Anmerkung
JWTToken sind eigenständig und verfügen über eine Signatur und eine Ablaufzeit, die bei der Erstellung des Tokens zugewiesen wurden. Widerrufene Token können nicht mit Amazon Cognito API Cognito-Aufrufen verwendet werden, für die ein Token erforderlich ist. Widerrufene Token sind jedoch weiterhin gültig, wenn sie mithilfe einer JWT Bibliothek verifiziert werden, die die Signatur und den Ablauf des Tokens überprüft.
Sie können ein Aktualisierungstoken für einen Benutzerpoolclient mit aktiviertem Tokenwiderruf widerrufen. Wenn Sie einen neuen Benutzerpool-Client erstellen, ist der Tokenwiderruf standardmäßig aktiviert.
Tokenwiderruf aktivieren
Bevor Sie ein Token für einen vorhandenen Benutzerpool-Client widerrufen können, müssen Sie den Tokenwiderruf aktivieren. Sie können den Token-Widerruf für bestehende Benutzerpool-Clients mit dem AWS CLI
oder dem aktivieren. AWS API Rufen Sie dazu den aws cognito-idp
describe-user-pool-client CLI Befehl oder die DescribeUserPoolClient API Operation zum Abrufen der aktuellen Einstellungen von Ihrem App-Client auf. Rufen Sie dann den aws
cognito-idp update-user-pool-client CLI Befehl oder die UpdateUserPoolClient API Operation auf. Fügen Sie die aktuellen Einstellungen von Ihrem App-Client hinzu und setzen Sie den Parameter EnableTokenRevocation auf true.
Wenn Sie einen neuen Benutzerpool-Client mithilfe des Tokens AWS Management Console AWS CLI, des oder des erstellen AWS API, ist der Widerruf standardmäßig aktiviert.
Nachdem Sie den Token-Widerruf aktiviert haben, werden neue Ansprüche zu den Amazon Cognito JSON Web Tokens hinzugefügt. Die origin_jti- und jti-Ansprüche werden zu Zugriffs- und ID-Token hinzugefügt. Diese Ansprüche erhöhen die Größe des Anwendungsclient-Zugriffs und ID-Tokens.
Um einen App-Client mit aktiviertem Token-Widerruf zu erstellen oder zu ändern, fügen Sie den folgenden Parameter in Ihre CreateUserPoolClientUpdateUserPoolClientAPIOR-Anfrage ein.
"EnableTokenRevocation":true
Widerrufen eines Token
Sie können ein Aktualisierungstoken mithilfe einer RevokeTokenAPIAnfrage widerrufen, beispielsweise mit dem aws cognito-idp
revoke-token CLI Befehl. Sie können Token auch mit dem Widerrufen des Endpunkts widerrufen. Dieser Endpunkt ist verfügbar, nachdem Sie Ihrem Benutzerpool eine Domäne hinzugefügt haben. Sie können den Widerrufsendpunkt entweder auf einer von Amazon Cognito gehosteten Domäne oder auf Ihrer eigenen benutzerdefinierten Domäne verwenden.
Anmerkung
Ihre Widerrufsanforderung für ein Aktualisierungstoken muss dieselbe Client-ID beinhalten, die zum Abrufen des Tokens verwendet wurde.
Im Folgenden finden Sie den Hauptteil einer RevokeToken API Beispielanforderung.
{ "ClientId": "1example23456789", "ClientSecret": "abcdef123456789ghijklexample", "Token": "eyJjdHkiOiJKV1QiEXAMPLE" }
Im Folgenden finden Sie ein Beispiel für eine URL C-Anfrage an den /oauth2/revoke Endpunkt eines Benutzerpools mit einer benutzerdefinierten Domäne.
curl --location 'auth.mydomain.com/oauth2/revoke' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --header 'Authorization: BasicBase64Encode(client_id:client_secret)' \ --data-urlencode 'token=abcdef123456789ghijklexample' \ --data-urlencode 'client_id=1example23456789'
Die Operation RevokeToken und der Endpunkt /oauth2/revoke erfordern keine zusätzliche Autorisierung, es sei denn, Ihr App-Client verfügt über einen geheimen Client-Schlüssel.
