Otorisasi titik akhir - Amazon Cognito
DAPATKAN /oauth2/authorizeContoh permintaan dengan tanggapan positifContoh tanggapan negatif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otorisasi titik akhir

Titik /oauth2/authorize akhir adalah titik akhir pengalihan yang mendukung dua tujuan pengalihan. Jika Anda menyertakan idp_identifier parameter identity_provider atau di URL, parameter tersebut secara diam-diam mengarahkan pengguna Anda ke halaman masuk untuk penyedia identitas tersebut (iDP). Jika tidak, itu mengalihkan ke Titik akhir masuk dengan parameter URL yang sama yang Anda sertakan dalam permintaan Anda.

Titik akhir otorisasi mengalihkan ke UI yang dihosting atau ke halaman masuk IDP. Tujuan sesi pengguna di titik akhir ini adalah halaman web yang harus berinteraksi dengan pengguna Anda secara langsung di browser mereka.

Untuk menggunakan titik akhir otorisasi, panggil browser pengguna Anda di /oauth2/authorize dengan parameter yang menyediakan kumpulan pengguna Anda dengan informasi tentang detail kumpulan pengguna berikut.

  • Klien aplikasi yang ingin Anda masuki.

  • URL callback yang ingin Anda dapatkan.

  • Cakupan OAuth 2.0 yang ingin Anda minta di token akses pengguna Anda.

  • Secara opsional, idP pihak ketiga yang ingin Anda gunakan untuk masuk.

Anda juga dapat menyediakan state dan nonce parameter yang digunakan Amazon Cognito untuk memvalidasi klaim yang masuk.

DAPATKAN /oauth2/authorize

Titik akhir /oauth2/authorize hanya mendukung HTTPS GET. Aplikasi Anda biasanya memulai permintaan ini di browser pengguna Anda. Anda hanya dapat membuat permintaan ke /oauth2/authorize titik akhir melalui HTTPS.

Anda dapat mempelajari lebih lanjut tentang definisi titik akhir otorisasi dalam standar OpenID Connect (OIDC) di Authorization Endpoint.

Permintaan parameter

response_type

(Wajib) Jenis respons. Harus code atau token.

Permintaan yang berhasil dengan response_type code pengembalian hibah kode otorisasi. Pemberian kode otorisasi adalah code parameter yang ditambahkan Amazon Cognito ke URL pengalihan Anda. Aplikasi Anda dapat bertukar kode dengan token akses, ID, dan penyegaran. Titik akhir token Sebagai praktik keamanan terbaik, dan untuk menerima token penyegaran bagi pengguna Anda, gunakan hibah kode otorisasi di aplikasi Anda.

Permintaan yang berhasil dengan response_type token pengembalian hibah implisit. Pemberian implisit adalah ID dan token akses yang ditambahkan Amazon Cognito ke URL pengalihan Anda. Hibah implisit kurang aman karena mengekspos token dan informasi identifikasi potensial kepada pengguna. Anda dapat menonaktifkan dukungan untuk hibah implisit dalam konfigurasi klien aplikasi Anda.

client_id

(Wajib) ID klien aplikasi.

Nilai client_id harus berupa ID klien aplikasi di kumpulan pengguna tempat Anda membuat permintaan. Klien aplikasi Anda harus mendukung proses masuk oleh pengguna lokal Amazon Cognito atau setidaknya satu IDP pihak ketiga.

redirect_uri

(Wajib) URL tempat server otentikasi mengalihkan browser setelah Amazon Cognito memberi otorisasi kepada pengguna.

Pengenal sumber daya seragam pengalihan (URI) harus memiliki atribut berikut:

  • Ini harus URI mutlak.

  • Anda harus telah melakukan pra-registrasi URI dengan klien.

  • Itu tidak dapat menyertakan komponen fragmen.

Lihat OAuth 2.0 - Titik Akhir Pengalihan.

Amazon Cognito mengharuskan URI pengalihan Anda menggunakan HTTPS, kecualihttp://localhost, yang dapat Anda tetapkan sebagai URL panggilan balik untuk tujuan pengujian.

Amazon Cognito juga mendukung URL callback aplikasi seperti. myapp://example

state

(Opsional, disarankan) Saat aplikasi Anda menambahkan parameter status ke permintaan, Amazon Cognito mengembalikan nilainya ke aplikasi Anda saat /oauth2/authorize titik akhir mengarahkan pengguna Anda.

Tambahkan nilai ini ke permintaan Anda untuk menjaga terhadap serangan CSRF.

Anda tidak dapat mengatur nilai state parameter ke string JSON yang dikodekan URL. Untuk meneruskan string yang cocok dengan format ini dalam state parameter, enkodekan string ke base64, lalu dekodekannya di aplikasi Anda.

identity_provider

(Opsional) Tambahkan parameter ini untuk melewati UI yang dihosting dan mengarahkan pengguna Anda ke halaman login penyedia. Nilai parameter identity_provider adalah nama penyedia identitas (idP) seperti yang muncul di kumpulan pengguna Anda.

  • Untuk penyedia sosial, Anda dapat menggunakan nilai identity_providerFacebook,,Google, LoginWithAmazon dan. SignInWithApple

  • Untuk kumpulan pengguna Amazon Cognito, gunakan nilainya. COGNITO

  • Untuk penyedia identitas SAMP 2.0 dan OpenID Connect (OIDC) (IdPs), gunakan nama yang Anda tetapkan ke iDP di kumpulan pengguna Anda.

idp_identifier

(Opsional) Tambahkan parameter ini untuk mengarahkan ke penyedia dengan nama alternatif untuk nama identity_provider. Anda dapat memasukkan pengenal untuk SAMP 2.0 dan OIDC IdPs dari tab Pengalaman masuk di konsol Amazon Cognito.

scope

(Opsional) Dapat berupa kombinasi dari cakupan yang dicadangkan sistem atau cakupan khusus yang terkait dengan klien. Lingkup harus dipisahkan oleh spasi. Cakupan sistem cadangan adalah openid, email, phone, profile, dan aws.cognito.signin.user.admin. Lingkup yang digunakan harus dikaitkan dengan klien, atau akan diabaikan pada saat waktu aktif.

Jika klien tidak meminta cakupan apa pun, server autentikasi menggunakan semua cakupan yang terkait dengan klien.

Token ID hanya dikembalikan jika cakupan openid diminta. Token akses hanya dapat digunakan terhadap kolam pengguna Amazon Cognito jika cakupan aws.cognito.signin.user.admin diminta. Cakupan phone, email, dan profile hanya dapat diminta jika cakupan openid juga diminta. Lingkup ini mendikte klaim yang masuk ke dalam token ID.

code_challenge_method

(Opsional) Protokol hashing yang Anda gunakan untuk menghasilkan tantangan. PKCE RFC mendefinisikan dua metode, S256 dan polos; namun, server autentikasi Amazon Cognito hanya mendukung S256.

code_challenge

(Opsional) Tantangan yang Anda hasilkan daricode_verifier.

Diperlukan hanya ketika Anda menentukan code_challenge_method parameter.

nonce

(Opsional) Nilai acak yang dapat Anda tambahkan ke permintaan. Nilai nonce yang Anda berikan disertakan dalam token ID yang dikeluarkan Amazon Cognito. Untuk mencegah serangan replay, aplikasi Anda dapat memeriksa nonce klaim dalam token ID dan membandingkannya dengan yang Anda buat. Untuk informasi selengkapnya tentang nonce klaim, lihat validasi token ID dalam standar OpenID Connect.

Contoh permintaan dengan tanggapan positif

Contoh berikut menggambarkan format permintaan HTTP ke titik /oauth2/authorize akhir.

Pemberian kode otorisasi

Ini adalah contoh permintaan untuk hibah kode otorisasi.

Contoh - DAPATKAN permintaan

Permintaan berikut memulai sesi untuk mengambil kode otorisasi yang diteruskan pengguna ke aplikasi Anda di tujuan. redirect_uri Sesi ini meminta cakupan atribut pengguna dan akses ke operasi API layanan mandiri Amazon Cognito.

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=openid+profile+aws.cognito.signin.user.admin
Contoh - respon

Server autentikasi Amazon Cognito mengalihkan kembali ke aplikasi Anda dengan kode otorisasi dan status. Kode otorisasi berlaku selama lima menit.

HTTP/1.1 302 Found
Location: https://www.example.com?code=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111&state=abcdefg

Pemberian kode otorisasi dengan PKCE

Ini adalah contoh permintaan untuk hibah kode otorisasi dengan PKCE.

Contoh - DAPATKAN permintaan

Permintaan berikut menambahkan code_challenge parameter ke permintaan sebelumnya. Untuk menyelesaikan pertukaran kode untuk token, Anda harus menyertakan code_verifier parameter dalam permintaan Anda ke /oauth2/token titik akhir.

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=code&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=aws.cognito.signin.user.admin&
code_challenge_method=S256&
code_challenge=a1b2c3d4...
Contoh - respon

Server otentikasi mengalihkan kembali ke aplikasi Anda dengan kode otorisasi dan status. Kode dan status harus dikembalikan dalam parameter string kueri dan bukan di fragmen:

HTTP/1.1 302 Found
Location: https://www.example.com?code=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111&state=abcdefg

Pemberian token tanpa cakupan openid

Ini adalah contoh permintaan yang menghasilkan hibah implisit dan mengembalikan JWT langsung ke sesi pengguna.

Contoh - DAPATKAN permintaan

Permintaan berikut adalah hibah implisit dari server otorisasi Anda. Token akses dari Amazon Cognito mengotorisasi operasi API swalayan.

GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?
response_type=token&
client_id=1example23456789&
redirect_uri=https://www.example.com&
state=abcdefg&
scope=aws.cognito.signin.user.admin
Contoh - respon

Server otorisasi Amazon Cognito mengarahkan kembali ke aplikasi Anda dengan token akses. Karena openid cakupan tidak diminta, Amazon Cognito tidak mengembalikan token ID. Selain itu, Amazon Cognito tidak mengembalikan token penyegaran dalam aliran ini. Amazon Cognito mengembalikan token akses dan status dalam fragmen dan bukan dalam string kueri:

HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri#access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE

Pemberian token dengan cakupan openid

Ini adalah contoh permintaan yang menghasilkan hibah implisit dan mengembalikan JWT langsung ke sesi pengguna.

Contoh - DAPATKAN permintaan

Permintaan berikut adalah hibah implisit dari server otorisasi Anda. Token akses dari Amazon Cognito mengotorisasi akses ke atribut pengguna dan operasi API layanan mandiri.

GET
https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? 
response_type=token& 
client_id=1example23456789& 
redirect_uri=https://www.example.com& 
state=abcdefg&
scope=aws.cognito.signin.user.admin+openid+profile
Contoh - respon

Server otorisasi mengalihkan kembali ke aplikasi Anda dengan token akses dan token ID (karena openid cakupan telah disertakan):

HTTP/1.1 302 Found
Location: https://www.example.com#id_token=eyJra67890EXAMPLE&access_token=eyJra12345EXAMPLE&token_type=bearer&expires_in=3600&state=abcdefg

Contoh tanggapan negatif

Amazon Cognito mungkin menolak permintaan Anda. Permintaan negatif datang dengan kode kesalahan HTTP dan deskripsi yang dapat Anda gunakan untuk memperbaiki parameter permintaan Anda. Berikut ini adalah contoh tanggapan negatif.

  • redirect_uriJika client_id dan valid, tetapi parameter permintaan tidak diformat dengan benar, server otentikasi mengalihkan kesalahan ke klien redirect_uri dan menambahkan pesan kesalahan dalam parameter URL. Berikut ini adalah contoh pemformatan yang salah.

    • Permintaan tidak menyertakan response_type parameter.

    • Permintaan otorisasi menyediakan code_challenge parameter, tetapi bukan code_challenge_method parameter.

    • Nilai code_challenge_method parameter tidakS256.

    Berikut ini adalah respons terhadap permintaan contoh dengan format yang salah.

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request

  • Jika klien meminta code atau token masukresponse_type, tetapi tidak memiliki izin untuk permintaan ini, server otorisasi Amazon Cognito kembali unauthorized_client ke klienredirect_uri, sebagai berikut:

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=unauthorized_client

  • Jika klien meminta cakupan yang tidak diketahui, cacat, atau tidak valid, server otorisasi Amazon Cognito invalid_scope kembali ke redirect_uri klien, sebagai berikut: 

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_scope

  • Jika ada kesalahan tak terduga di server, server otentikasi kembali server_error ke klien. redirect_uri Karena kesalahan HTTP 500 tidak dikirim ke klien, kesalahan tidak ditampilkan di browser pengguna. Server otorisasi mengembalikan kesalahan berikut.

    HTTP 1.1 302 Found Location: https://client_redirect_uri?error=server_error

  • Saat Amazon Cognito mengautentikasi melalui federasi ke pihak ketiga, Amazon IdPs Cognito mungkin mengalami masalah koneksi, seperti berikut ini:

    • Jika batas waktu koneksi terjadi saat meminta token dari IDP, server otentikasi mengalihkan kesalahan ke klien sebagai berikut: redirect_uri

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Timeout+occurred+in+calling+IdP+token+endpoint

    • Jika batas waktu koneksi terjadi saat memanggil jwks_uri titik akhir untuk validasi token ID, server otentikasi mengalihkan dengan kesalahan ke klien sebagai berikut: redirect_uri

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=error_description=Timeout+in+calling+jwks+uri

  • Saat mengautentikasi dengan mengfederasi ke pihak ketiga IdPs, penyedia dapat mengembalikan respons kesalahan. Ini bisa disebabkan oleh kesalahan konfigurasi atau alasan lain, seperti berikut ini:

    • Jika respons kesalahan diterima dari penyedia lain, server autentikasi mengalihkan kesalahan ke redirect_uri klien sebagai berikut:

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=[IdP name]+Error+-+[status code]+error getting token

    • Jika respons kesalahan diterima dari Google, server otentikasi mengalihkan kesalahan ke klien redirect_uri sebagai berikut: 

      HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Google+Error+-+[status code]+[Google-provided error code]

  • Saat Amazon Cognito menemukan pengecualian komunikasi saat terhubung ke iDP eksternal, server autentikasi mengalihkan dengan kesalahan ke klien dengan salah satu pesan berikut: redirect_uri

    • HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Connection+reset
    • HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Read+timed+out