Tambahkan klien aplikasi dan atur UI yang dihosting

Setelah Anda membuat kolam pengguna, Anda dapat membuat aplikasi untuk menggunakan halaman web bawaan untuk masuk dan mengizinkan pengguna Anda masuk.

Untuk membuat aplikasi di kolam pengguna Anda

1. Masuk ke Konsol Amazon Cognito. Jika diminta, masukkan AWS kredensil Anda.

2. Pilih Kolam Pengguna.

3. Pilih kolam pengguna yang ada dari daftar, atau buat kolam pengguna. Jika Anda membuat kumpulan pengguna baru, Anda akan diminta untuk menyiapkan klien aplikasi dan mengonfigurasi UI yang dihosting selama wizard.

4. Pilih tab Integrasi aplikasi untuk kumpulan pengguna Anda.

5. Di samping Domain, pilih Tindakan, lalu pilih Buat domain khusus atau Buat domain Amazon Cognito. Jika Anda telah mengonfigurasi domain kumpulan pengguna, pilih Hapus domain Amazon Cognito atau Hapus domain kustom sebelum membuat domain kustom baru Anda.

6. Masukkan awalan domain yang tersedia untuk digunakan dengan domain Amazon Cognito. Untuk informasi tentang cara menyiapkan domain Kustom, lihat Menggunakan Domain Anda Sendiri untuk UI yang Dihosting.

7. Pilih Buat.

8. Arahkan kembali ke tab Integrasi aplikasi untuk kumpulan pengguna yang sama dan temukan klien Aplikasi. Pilih Buat klien aplikasi.

9. Pilih jenis Aplikasi. Beberapa pengaturan yang disarankan akan disediakan berdasarkan pilihan Anda. Aplikasi yang menggunakan UI yang dihosting adalah klien Publik.

10. Masukkan nama klien App.

11. Untuk latihan ini, pilih Jangan buat rahasia klien. Rahasia klien digunakan oleh aplikasi rahasia yang mengautentikasi pengguna dari aplikasi terpusat. Dalam latihan ini, Anda akan menampilkan halaman login UI yang dihosting kepada pengguna Anda dan tidak memerlukan rahasia klien.

12. Pilih alur Autentikasi yang akan Anda izinkan dengan aplikasi Anda. Pastikan yang USER_SRP_AUTH telah dipilih.

13. Sesuaikan kedaluwarsa token, Konfigurasi keamanan lanjutan, dan izin baca dan tulis Atribut sesuai kebutuhan. Untuk informasi selengkapnya, lihat Mengonfigurasi Pengaturan Klien Aplikasi.

14. Tambahkan URL callback untuk klien aplikasi Anda. Di sinilah Anda akan diarahkan setelah otentikasi UI yang dihosting. Anda tidak perlu menambahkan URL keluar yang Diizinkan hingga Anda dapat menerapkan sign-out di aplikasi.

    Untuk aplikasi iOS atau Android, Anda dapat menggunakan URL panggilan balik seperti myapp://.

15. Pilih penyedia Identitas untuk klien aplikasi. Minimal, aktifkan kumpulan pengguna Amazon Cognito sebagai penyedia.

    catatan

    Untuk masuk dengan penyedia identitas eksternal (IdPs) seperti Facebook, Amazon, Google, dan Apple, serta melalui OpenID Connect (OIDC) atau SAFL IdPs, konfigurasikan terlebih dahulu seperti yang ditunjukkan pada Menambahkan login kumpulan pengguna melalui pihak ketiga, lalu kembali ke halaman pengaturan klien Aplikasi untuk mengaktifkannya.

16. Pilih Jenis Hibah OAuth 2.0. Pilih Pemberian kode otorisasi untuk mengembalikan kode otorisasi yang kemudian ditukar dengan token kolam pengguna. Karena tidak pernah berinteraksi langsung ke pengguna akhir, token cenderung tidak dikompromikan. Namun, aplikasi kustom diperlukan pada backend untuk menukar kode otorisasi dengan token kolam pengguna. Untuk alasan keamanan, sebaiknya gunakan alur pemberian kode otorisasi, bersama dengan Kunci Bukti untuk Pertukaran Kode (PKCE), untuk aplikasi seluler.

    Pilih Pemberian implisit untuk memerintahkan agar JSON web token (JWT) kolam pengguna kembali kepada Anda dari Amazon Cognito. Anda dapat menggunakan aliran ini ketika tidak ada backend yang tersedia untuk menukar kode otorisasi dengan token. Ini juga membantu untuk debugging token.

    catatan

    Anda dapat mengaktifkan baik Pemberian kode otorisasi maupun Pemberian kode implisit, lalu gunakan setiap pemberian sesuai kebutuhan.

    Pilih Kredenitas klien hanya jika aplikasi Anda perlu meminta token akses atas namanya sendiri, bukan atas nama pengguna.

17. Kecuali Anda secara khusus ingin mengecualikan satu, pilih semua cakupan OpenID Connect.

18. Pilih cakupan Kustom yang telah Anda konfigurasikan. Cakupan khusus biasanya digunakan dengan klien rahasia.

19. Pilih Buat.

Untuk melihat halaman masuk

Dari halaman klien Aplikasi Anda, pilih Lihat UI yang dihosting untuk membuka tab browser baru ke halaman login yang diisi sebelumnya dengan ID klien aplikasi, cakupan, hibah, dan parameter URL panggilan balik.

Anda dapat melihat halaman web login UI yang dihosting secara manual dengan URL berikut. Catatan response_type. Dalam kasus ini, response_type=code untuk pemberian kode otorisasi.

https://your_domain/login?response_type=code&client_id=your_app_client_id&redirect_uri=your_callback_url

Anda dapat melihat halaman web masuk UI yang di-hosting dengan URL berikut untuk pemberian kode implisit jika response_type=token. Setelah berhasil masuk, Amazon Cognito mengembalikan token kolam pengguna ke bilah alamat browser web Anda.

https://your_domain/login?response_type=token&client_id=your_app_client_id&redirect_uri=your_callback_url

Anda dapat menemukan token identitas JSON web token (JWT) setelah parameter #idtoken= dalam respons.

URL berikut adalah contoh respons dari permintaan hibah implisit. String token identitas Anda akan lebih lama.

https://www.example.com/#id_token=123456789tokens123456789&expires_in=3600&token_type=Bearer  

Token kolam pengguna Amazon Cognito ditandatangani dengan algoritme RS256. Anda dapat memecahkan kode dan memverifikasi token kumpulan pengguna menggunakanAWS Lambda, lihat Decode dan verifikasi token Amazon Cognito JWT di situs web. AWS GitHub

Domain Anda ditampilkan di halaman Nama domain. ID klien aplikasi dan URL panggilan balik Anda ditampilkan di halaman Pengaturan umum. Jika perubahan yang Anda buat di konsol tidak segera muncul, tunggu beberapa menit lalu segarkan browser Anda.

Langkah selanjutnya

Tambahkan login sosial ke kumpulan pengguna (opsional)