Octrois OAuth 2.0

Le serveur d’autorisation OAuth 2.0 du groupe d’utilisateurs Amazon Cognito émet des jetons en réponse à trois types d’octrois d’autorisations d’OAuth 2.0. Vous pouvez définir les types d’octroi pris en charge pour chaque client d’application de votre groupe d’utilisateurs. Vous ne pouvez pas activer les octrois d’informations d’identification client dans le même client d’application que les octrois de code implicite ou de code d’autorisation. Les demandes d’octroi de code implicite et de code d’autorisation commencent à votre Point de terminaison d’autorisation, et les demandes d’octroi d’informations d’identification client commencent à votre Point de terminaison de jeton.

Octroi de code d’autorisation

En réponse à votre demande d’authentification réussie, le serveur d’autorisation ajoute un code d’autorisation dans un paramètre code de votre URL de rappel. Vous devez alors échanger ce code avec le Point de terminaison de jeton pour obtenir des jetons d’identification, d’accès et d’actualisation. Pour demander l’octroi d’un code d’autorisation, définissez response_type sur code dans votre demande. Pour obtenir un exemple de demande, consultez Octroi de code d’autorisation.

L’octroi d’un code d’autorisation est la forme la plus sécurisée d’octroi d’autorisation. Le contenu des jetons n’est pas montré directement à vos utilisateurs. À la place, votre application est chargée de récupérer et de stocker en toute sécurité les jetons de vos utilisateurs. Dans Amazon Cognito, l’octroi d’un code d’autorisation est le seul moyen d’obtenir les trois types de jetons (ID, accès et actualisation) auprès du serveur d’autorisation. Vous pouvez également obtenir les trois types de jetons lors de l’authentification via l’API des groupes d’utilisateurs Amazon Cognito, mais l’API ne délivre pas de jetons d’accès avec des étendues autres que aws.cognito.signin.user.admin.

Octroi implicite

En réponse à votre demande d’authentification réussie, le serveur d’autorisation ajoute un jeton d’accès dans un paramètre access_token et un jeton d’identification dans un paramètre id_token, dans votre URL de rappel. Un octroi implicite ne nécessite aucune interaction supplémentaire avec le Point de terminaison de jeton. Pour demander un octroi implicite, définissez response_type sur token dans votre demande. L’octroi implicite génère uniquement un identifiant et un jeton d’accès. Pour obtenir un exemple de demande, consultez Octroi de jeton sans paramètre de périmètre openid.

L’octroi implicite est un octroi d’autorisation hérité. Contrairement à l’octroi de code d’autorisation, les utilisateurs peuvent intercepter et inspecter vos jetons. Pour empêcher la livraison de jetons par le biais d’un octroi implicite, configurez votre client d’application pour qu’il prenne en charge uniquement l’octroi de code d’autorisation.

Informations d’identification client

Les informations d'identification du client sont une autorisation d'accès uniquement. machine-to-machine Pour recevoir un octroi d’informations d’identification client, contournez le Point de terminaison d’autorisation et générez une demande directement auprès du Point de terminaison de jeton. Votre client d’application doit disposer d’un secret client et prendre en charge les octrois d’informations d’identification client. En réponse à votre demande réussie, le serveur d’autorisation renvoie un jeton d’accès.

Le jeton d’accès issu d’un octroi d’informations d’identification client est un mécanisme d’autorisation qui contient des étendues OAuth 2.0. Généralement, le jeton contient des champs standard personnalisés d’étendue qui autorisent les opérations HTTP à accéder à des API dont l’accès est protégé. Pour plus d’informations, consultez Champs d'application, M2M et autorisation d'API avec les serveurs de ressources.

Les informations d'identification des clients vous permettent d'ajouter des frais à votre AWS facture. Pour plus d’informations, consultez Tarification d’Amazon Cognito.