Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami token JSON web kumpulan pengguna (JWTs)
Token mengautentikasi pengguna dan memberikan akses ke sumber daya. Klaim dalam token adalah informasi tentang pengguna Anda. Token ID berisi klaim tentang identitas mereka, seperti nama pengguna, nama keluarga, dan alamat email mereka. Token akses berisi klaim seperti scope
yang dapat digunakan pengguna yang diautentikasi untuk mengakses pihak ketigaAPIs, operasi API layanan mandiri pengguna Amazon Cognito, dan. userInfo titik akhir Token akses dan ID keduanya menyertakan cognito:groups
klaim yang berisi keanggotaan grup pengguna Anda di kumpulan pengguna Anda. Untuk informasi selengkapnya tentang grup kumpulan pengguna, lihatMenambahkan grup ke kumpulan pengguna.
Amazon Cognito juga memiliki token penyegaran yang dapat Anda gunakan untuk mendapatkan token baru atau mencabut token yang ada. Refresh token untuk mengambil ID baru dan token akses. Cabut token untuk mencabut akses pengguna yang diizinkan oleh token penyegaran.
Amazon Cognito mengeluarkan token sebagai string yang dikodekan Base64. Anda dapat memecahkan kode ID Amazon Cognito atau token akses apa pun dari base64 ke teks biasa. JSON Token penyegaran Amazon Cognito dienkripsi, buram untuk pengguna dan administrator kumpulan pengguna, dan hanya dapat dibaca oleh kumpulan pengguna Anda.
Mengautentikasi dengan token
Saat pengguna masuk ke aplikasi Anda, Amazon Cognito memverifikasi informasi masuk. Jika login berhasil, Amazon Cognito membuat sesi dan mengembalikan token ID, token akses, dan token penyegaran untuk pengguna yang diautentikasi. Anda dapat menggunakan token untuk memberi pengguna akses ke sumber daya hilir dan APIs seperti Amazon API Gateway. Atau Anda dapat menukarnya dengan AWS kredensi sementara untuk mengakses lainnya. Layanan AWS
Menyimpan token
Aplikasi Anda harus dapat menyimpan token dengan berbagai ukuran. Ukuran token dapat berubah karena alasan termasuk, namun tidak terbatas pada, klaim tambahan, perubahan algoritma pengkodean, dan perubahan algoritma enkripsi. Saat Anda mengaktifkan pencabutan token di kumpulan pengguna, Amazon Cognito menambahkan klaim tambahan JSON ke Token Web, meningkatkan ukurannya. Klaim baru origin_jti
dan jti
ditambahkan ke token akses dan ID. Untuk informasi selengkapnya tentang pencabutan token, lihat Mencabut token.
penting
Sebagai praktik terbaik, amankan semua token dalam perjalanan dan penyimpanan dalam konteks aplikasi Anda. Token dapat berisi informasi identifikasi pribadi tentang pengguna Anda, dan informasi tentang model keamanan yang Anda gunakan untuk kumpulan pengguna Anda.
Menyesuaikan token
Anda dapat menyesuaikan akses dan token ID yang diteruskan Amazon Cognito ke aplikasi Anda. Dalam aPemicu Lambda generasi pra token, Anda dapat menambahkan, memodifikasi, dan menekan klaim token. Pemicu pembuatan token pra adalah fungsi Lambda tempat Amazon Cognito mengirimkan serangkaian klaim default. Klaim tersebut mencakup cakupan OAuth 2.0, keanggotaan grup kumpulan pengguna, atribut pengguna, dan lainnya. Fungsi tersebut kemudian dapat mengambil kesempatan untuk membuat perubahan saat runtime dan mengembalikan klaim token yang diperbarui ke Amazon Cognito.
Biaya tambahan berlaku untuk mengakses kustomisasi token dengan acara versi 2. Untuk informasi selengkapnya, lihat Harga Amazon Cognito