Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de tokens con grupos de usuarios
Autentique usuarios y conceda acceso a los recursos con tokens. Las reclamaciones que aparecen en los tokens son información sobre su usuario. El token de ID contiene reclamaciones sobre la identidad, como el nombre de usuario, apellido y dirección de correo electrónico. El token de acceso contiene afirmaciones como las scope que el usuario autenticado puede utilizar para acceder a operaciones de API autoservicio de usuarios de Amazon Cognito de terceros APIs y la. Punto de conexión de UserInfo Los tokens de ID y acceso como un reclamación cognito:groups que contiene la pertenencia del grupo del usuario en el grupo de usuarios. Para obtener más información acerca de los conjuntos de grupos de usuarios, consulte Agregar grupos a un grupo de usuarios.
Amazon Cognito también tiene tokens de actualización que puede utilizar para obtener nuevos tokens o revocar los existentes. Actualice un token para recuperar un ID nuevo y tokens de acceso. Revoque un token para denegar el acceso del usuario admitido por los tokens de actualización.
Amazon Cognito emite tokens como cadenas codificadas en Base64. Puede decodificar cualquier identificador de Amazon Cognito o token de acceso, desde base64 a texto plano. JSON Los tokens de actualización de Amazon Cognito están cifrados, son opacos para los usuarios y administradores de grupos de usuarios y solo los puede leer el grupo de usuarios.
Autenticación con tokens
Cuando un usuario inicia sesión en su aplicación, Amazon Cognito verifica la información de inicio de sesión. Si el inicio de sesión es correcto, Amazon Cognito crea una sesión y devuelve un token de ID, un token de acceso y un token de actualización para el usuario autenticado. Puedes usar los tokens para conceder a tus usuarios acceso a recursos descendentes, APIs como Amazon API Gateway. O bien, puede intercambiarlos por credenciales temporales de AWS para acceder a otros Servicios de AWS.
Almacenamiento de tokens
La aplicación debe poder almacenar tokens de distintos tamaños. El tamaño del token puede cambiar por diferentes motivos, entre los que se incluyen notificaciones adicionales, cambios en los algoritmos de codificación y cambios en los algoritmos de cifrado. Cuando habilita la revocación de tokens en su grupo de usuarios, Amazon Cognito añade reclamos adicionales a los Web Tokens, JSON lo que aumenta su tamaño. Las nuevas notificaciones origin_jti y jti se agregan a los tokens de acceso e ID. Para obtener más información acerca de la revocación de tokens, consulte Revocación de tokens.
importante
Como práctica recomendada, asegure todos los tokens en tránsito y el almacenamiento en el contexto de la aplicación. Los tokens pueden contener información de identificación personal acerca de los usuarios e información sobre el modelo de seguridad que utiliza para el grupo de usuarios.
Personalización de tokens
Puede personalizar los tokens de acceso e ID que Amazon Cognito transfiere a la aplicación. En Desencadenador de Lambda anterior a la generación del token, puede agregar, modificar y suprimir las reclamaciones de tokens. El desencadenador previo a la generación del token es una función de Lambda a la que Amazon Cognito envía un conjunto predeterminado de reclamaciones. Entre estas afirmaciones se incluyen los ámbitos de la OAuth versión 2.0, la pertenencia a grupos de usuarios y los atributos de los usuarios, entre otros. Luego, la función puede aprovechar la oportunidad para realizar cambios en tiempo de ejecución y devolver las reclamaciones de token actualizadas a Amazon Cognito.
El acceso a la personalización del token con los eventos de la versión 2 conlleva costos adicionales. Para obtener más información, consulte Precios de Amazon Cognito
Temas
