Hibah OAuth 2.0 - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Hibah OAuth 2.0

Server otorisasi OAuth 2.0 kumpulan pengguna Amazon Cognito mengeluarkan token sebagai tanggapan atas tiga jenis hibah otorisasi OAuth 2.0. Anda dapat menyetel jenis hibah yang didukung untuk setiap klien aplikasi di kumpulan pengguna Anda. Anda tidak dapat mengaktifkan hibah kredensyal klien di klien aplikasi yang sama seperti hibah kode implisit atau otorisasi. Permintaan untuk hibah kode implisit dan otorisasi dimulai dari Anda Otorisasi titik akhir dan permintaan hibah kredensyal klien dimulai dari Anda. Titik akhir token

Pemberian kode otorisasi

Menanggapi permintaan otentikasi Anda yang berhasil, server otorisasi menambahkan kode otorisasi dalam code parameter ke URL callback Anda. Anda kemudian harus menukar kode untuk ID, akses, dan refresh token denganTitik akhir token. Untuk meminta pemberian kode otorisasi, setel response_type ke code dalam permintaan Anda. Untuk contoh permintaan, lihatPemberian kode otorisasi.

Pemberian kode otorisasi adalah bentuk hibah otorisasi yang paling aman. Itu tidak menampilkan konten token langsung ke pengguna Anda. Sebagai gantinya, aplikasi Anda bertanggung jawab untuk mengambil dan menyimpan token pengguna Anda dengan aman. Di Amazon Cognito, pemberian kode otorisasi adalah satu-satunya cara untuk mendapatkan ketiga jenis token—ID, akses, dan penyegaran—dari server otorisasi. Anda juga bisa mendapatkan ketiga jenis token dari otentikasi melalui API kumpulan pengguna Amazon Cognito, tetapi API tidak mengeluarkan token akses dengan cakupan selain. aws.cognito.signin.user.admin

Hibah implisit

Menanggapi permintaan otentikasi Anda yang berhasil, server otorisasi menambahkan token akses dalam access_token parameter, dan token ID dalam id_token parameter, ke URL panggilan balik Anda. Hibah implisit tidak memerlukan interaksi tambahan dengan. Titik akhir token Untuk meminta hibah implisit, setel response_type ke token dalam permintaan Anda. Hibah implisit hanya menghasilkan ID dan token akses. Untuk contoh permintaan, lihatPemberian token tanpa cakupan openid.

Hibah implisit adalah hibah otorisasi warisan. Tidak seperti hibah kode otorisasi, pengguna dapat mencegat dan memeriksa token Anda. Untuk mencegah pengiriman token melalui hibah implisit, konfigurasikan klien aplikasi Anda untuk mendukung pemberian kode otorisasi saja.

Kredensial klien

Kredensyal klien adalah hibah otorisasi khusus untuk akses. machine-to-machine Untuk menerima hibah kredensyal klien, lewati Otorisasi titik akhir dan buat permintaan langsung ke. Titik akhir token Klien aplikasi Anda harus memiliki rahasia klien dan hanya mendukung kredensyal klien. Menanggapi permintaan Anda yang berhasil, server otorisasi mengembalikan token akses.

Token akses dari hibah kredensyal klien adalah mekanisme otorisasi yang berisi cakupan OAuth 2.0. Biasanya, token berisi klaim cakupan khusus yang mengotorisasi operasi HTTP untuk mengakses API yang dilindungi. Untuk informasi selengkapnya, lihat Cakupan OAuth 2.0 dan otorisasi API dengan server sumber daya.