Utilisation des jetons avec des groupes d'utilisateurs - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des jetons avec des groupes d'utilisateurs

Authentifiez les utilisateurs et accordez l'accès aux ressources avec des jetons. Les champs standard (claims) présents dans les jetons sont des informations sur l'utilisateur. Le jeton d'identification contient des champs standard sur l'identité, tels que le nom d'utilisateur, le nom de famille et l'adresse e-mail. Le jeton d'accès contient des champs standard comme scope que l'utilisateur authentifié peut utiliser pour accéder à des API tierces, aux opérations d'API en libre-service des utilisateurs Amazon Cognito et au Point de terminaison UserInfo. Le jeton d'accès et le jeton d'identification incluent tous deux une demande cognito:groups qui contient l'appartenance du groupe de l'utilisateur à votre groupe d'utilisateurs. Pour de plus amples informations sur les groupes de groupes d'utilisateurs, consultez Ajout de groupes à un groupe d'utilisateurs.

Amazon Cognito inclut également des jetons que vous pouvez utiliser pour en obtenir des nouveaux ou révoquer des jetons existants. Actualisez un jeton pour récupérer de nouveaux jetons d'identification et d'accès. Révoquez un jeton pour stopper un accès d'utilisateur autorisé par des jetons d'actualisation.

Amazon Cognito émet des jetons sous forme de chaînes codées en Base64. Vous pouvez décoder n'importe quel ID Amazon Cognito ou jeton d'accès du format base64 au format JSON en texte brut. Les jetons d'actualisation Amazon Cognito sont chiffrés, opaques pour les utilisateurs et les administrateurs des groupes d'utilisateurs et ne peuvent être lus que par votre groupe d'utilisateurs.

Authentification avec des jetons

Quand un utilisateur se connecte à votre application, Amazon Cognito vérifie les informations de connexion. Si la connexion est établie, Amazon Cognito crée une session et renvoie un jeton d'identification, d'accès et d'actualisation pour l'utilisateur authentifié. Vous pouvez utiliser les jetons pour accorder à vos utilisateurs l'accès à des ressources et à des API en aval, comme Amazon API Gateway. Vous pouvez également les échanger contre des informations d'identification AWS temporaires pour accéder à d'autres services Services AWS.

Présentation de l'authentification
Stockage de jetons

Votre application doit pouvoir stocker des jetons de différentes tailles. La taille des jetons peut changer pour des raisons incluant, sans s'y limiter, des revendications supplémentaires, des changements dans les algorithmes de codage et des changements dans les algorithmes de chiffrement. Lorsque vous activez la révocation de jetons dans votre groupe d'utilisateurs, Amazon Cognito ajoute des champs standard supplémentaires aux jetons Web JSON, ce qui augmente leur taille. Les nouvelles revendications origin_jti et jti sont ajoutées aux jetons d'accès et d'identification. Pour plus d'informations sur la révocation de jetons, consultez Révocation de jetons.

Important

Une bonne pratique consiste à sécuriser tous les jetons en transit et en stockage dans le cadre de votre application. Les jetons peuvent contenir des informations d'identification personnelle sur vos utilisateurs et des informations sur le modèle de sécurité que vous employez pour votre groupe d'utilisateurs.

Personnalisation des jetons

Vous pouvez personnaliser les jetons d'accès et d'identité qu'Amazon Cognito transmet à votre application. Dans unDéclencheur Lambda avant génération de jeton, vous pouvez ajouter, modifier et supprimer des demandes de jetons. Le déclencheur de pré-génération du jeton est une fonction Lambda à laquelle Amazon Cognito envoie un ensemble de demandes par défaut. Les revendications incluent les champs d'application OAuth 2.0, l'appartenance à un groupe de groupes d'utilisateurs, les attributs des utilisateurs, etc. La fonction peut ensuite profiter de l'occasion pour apporter des modifications lors de l'exécution et renvoyer les demandes de jetons mises à jour à Amazon Cognito.

Des coûts supplémentaires s'appliquent à la personnalisation des jetons d'accès avec les événements de la version 2. Pour plus d’informations, consultez Tarification d’Amazon Cognito.

Rubriques