OAuthSubventions 2.0 - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

OAuthSubventions 2.0

Le serveur d'autorisation du pool d'utilisateurs Amazon Cognito OAuth 2.0 émet des jetons en réponse à trois types d'autorisations OAuth 2.0. Vous pouvez définir les types d’octroi pris en charge pour chaque client d’application de votre groupe d’utilisateurs. Vous ne pouvez pas activer les octrois d’informations d’identification client dans le même client d’application que les octrois de code implicite ou de code d’autorisation. Les demandes d’octroi de code implicite et de code d’autorisation commencent à votre Point de terminaison d’autorisation, et les demandes d’octroi d’informations d’identification client commencent à votre Point de terminaison de jeton.

Octroi de code d’autorisation

En réponse à votre demande d'authentification réussie, le serveur d'autorisation ajoute un code d'autorisation dans un code paramètre à votre rappelURL. Vous devez alors échanger ce code avec le Point de terminaison de jeton pour obtenir des jetons d’identification, d’accès et d’actualisation. Pour demander l’octroi d’un code d’autorisation, définissez response_type sur code dans votre demande. Pour obtenir un exemple de demande, consultez Octroi de code d’autorisation.

L’octroi d’un code d’autorisation est la forme la plus sécurisée d’octroi d’autorisation. Le contenu des jetons n’est pas montré directement à vos utilisateurs. À la place, votre application est chargée de récupérer et de stocker en toute sécurité les jetons de vos utilisateurs. Dans Amazon Cognito, l’octroi d’un code d’autorisation est le seul moyen d’obtenir les trois types de jetons (ID, accès et actualisation) auprès du serveur d’autorisation. Vous pouvez également obtenir les trois types de jetons par le biais de l'authentification via les groupes d'utilisateurs Amazon CognitoAPI, mais celui-ci API ne délivre pas de jetons d'accès avec des champs d'application autres que. aws.cognito.signin.user.admin

Octroi implicite

En réponse à votre demande d'authentification réussie, le serveur d'autorisation ajoute un jeton d'accès dans un access_token paramètre, et un jeton d'identification dans un id_token paramètre, à votre rappelURL. Un octroi implicite ne nécessite aucune interaction supplémentaire avec le Point de terminaison de jeton. Pour demander un octroi implicite, définissez response_type sur token dans votre demande. L’octroi implicite génère uniquement un identifiant et un jeton d’accès. Pour obtenir un exemple de demande, consultez Octroi de jeton sans paramètre de périmètre openid.

L’octroi implicite est un octroi d’autorisation hérité. Contrairement à l’octroi de code d’autorisation, les utilisateurs peuvent intercepter et inspecter vos jetons. Pour empêcher la livraison de jetons par le biais d’un octroi implicite, configurez votre client d’application pour qu’il prenne en charge uniquement l’octroi de code d’autorisation.

Informations d’identification client

Les informations d'identification du client sont une autorisation d'accès uniquement. machine-to-machine Pour recevoir un octroi d’informations d’identification client, contournez le Point de terminaison d’autorisation et générez une demande directement auprès du Point de terminaison de jeton. Votre client d’application doit disposer d’un secret client et prendre en charge les octrois d’informations d’identification client. En réponse à votre demande réussie, le serveur d’autorisation renvoie un jeton d’accès.

Le jeton d'accès issu de l'octroi d'informations d'identification d'un client est un mécanisme d'autorisation qui contient des étendues OAuth 2.0. Généralement, le jeton contient des revendications d'étendue personnalisées qui autorisent les HTTP opérations à être protégées par un accèsAPIs. Pour de plus amples informations, veuillez consulter Éscopes, M2M et APIs avec serveurs de ressources.

Les informations d'identification des clients vous permettent d'ajouter des frais à votre AWS facture. Pour plus d’informations, consultez Tarification d’Amazon Cognito.

Pour en savoir plus sur ces subventions et leur mise en œuvre, consultez Comment utiliser la OAuthversion 2.0 dans Amazon Cognito : découvrez les différentes subventions OAuth 2.0 dans le blog sur la AWS sécurité.