GET /oauth2/userInfo Paramètres de demande dans l’en-tête Exemple — demande Exemple — réponse positive Exemple de réponses négatives

Point de terminaison UserInfo

Le point de terminaison userInfo est un point de terminaison userInfo OpenID Connect (OIDC). Il répond par des attributs utilisateur lorsque les fournisseurs de services présentent les jetons d’accès issus par votre Point de terminaison de jeton. Les portées du jeton d’accès de votre utilisateur définissent les attributs utilisateur que le point de terminaison userInfo renvoie dans sa réponse. La portée openid doit correspondre à l’une des demandes de jeton d’accès.

Amazon Cognito émet des jetons d’accès en réponse aux demandes d’API des groupes d’utilisateurs comme InitiateAuth. Comme ces jetons d’accès ne contiennent pas de portées, le point de terminaison userInfo ne les accepte pas. À la place, vous devez présenter les jetons d’accès de votre point de terminaison de jeton.

Votre fournisseur d’identité (IdP) tiers OAuth 2.0 héberge également un point de terminaison userInfo. Lorsque votre utilisateur s'authentifie auprès de cet IdP, Amazon Cognito échange silencieusement un code d'autorisation avec le point de terminaison de l'IdP. token Votre groupe d'utilisateurs transmet le jeton d'accès IdP pour autoriser la récupération des informations utilisateur depuis le point de terminaison IdP. userInfo

GET /oauth2/userInfo

Votre application envoie des demandes à ce point de terminaison directement, sans passer par un navigateur.

Pour en savoir plus, consultez Point de terminaison UserInfo dans la spécification OpenID Connect (OIDC).

Paramètres de demande dans l’en-tête

Authorization: Bearer <access_token>

Passez le jeton d'accès dans le champ d'en-tête d'autorisation.

Obligatoire.

Exemple — demande


GET /oauth2/userInfo HTTP/1.1
Content-Type: application/x-amz-json-1.1
Authorization: Bearer eyJra12345EXAMPLE
User-Agent: [User agent]
Accept: */*
Host: auth.example.com
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

Exemple — réponse positive


HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Content-Length: [Integer]
Date: [Timestamp]
x-amz-cognito-request-id: [UUID]
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
Server: Server
Connection: keep-alive
{
    "sub": "[UUID]",
    "email_verified": "true",
    "custom:mycustom1": "CustomValue",
    "phone_number_verified": "true",
    "phone_number": "+12065551212",
    "email": "bob@example.com",
    "username": "bob"
}

Pour obtenir la liste des revendications OIDC, consultez la référence aux revendications standard. Actuellement, Amazon Cognito renvoie les valeurs pour email_verified et phone_number_verified sous forme de chaînes.

Exemple de réponses négatives

Exemple — mauvaise demande


HTTP/1.1 400 Bad Request
WWW-Authenticate: error="invalid_request",
error_description="Bad OAuth2 request at UserInfo Endpoint"

invalid_request: Il manque un paramètre obligatoire à la demande, elle inclut une valeur de paramètre non prise en charge ou elle est mal formée.

Exemple : mauvais jeton


HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="Access token is expired, disabled, or deleted, or the user has globally signed out."

invalid_token: Le jeton d'accès est expiré, révoqué, mal formé ou il n'est pas valide.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Point de terminaison de jeton

Point de terminaison de révocation