Mencabut token

Anda dapat mencabut token penyegaran untuk pengguna yang menggunakan API. AWS Ketika Anda mencabut token refresh, semua token akses yang sebelumnya dikeluarkan oleh token refresh menjadi tidak valid. Token refresh lainnya dikeluarkan untuk pengguna tidak terpengaruh.

catatan

Token JWT mandiri dengan tanda tangan dan waktu kedaluwarsa yang ditetapkan saat token dibuat. Token yang dicabut tidak dapat digunakan dengan panggilan API Amazon Cognito apa pun yang memerlukan token. Namun, token yang dicabut akan tetap valid jika diverifikasi menggunakan pustaka JWT apa pun yang memverifikasi tanda tangan dan kedaluwarsa token.

Anda dapat mencabut token penyegaran untuk klien kumpulan pengguna dengan pencabutan token diaktifkan. Saat Anda membuat klien kolam pengguna baru, token pencabutan diaktifkan secara default.

Aktifkan pencabutan token

Sebelum Anda dapat mencabut token untuk klien kolam pengguna yang ada, Anda harus mengaktifkan pencabutan token. Anda dapat mengaktifkan pencabutan token untuk klien kumpulan pengguna yang ada menggunakan AWS CLI atau API. AWS Untuk melakukannya, panggil perintah aws cognito-idp describe-user-pool-client CLI atau operasi DescribeUserPoolClient API untuk mengambil pengaturan saat ini dari klien aplikasi Anda. Kemudian panggil perintah aws cognito-idp update-user-pool-client CLI atau operasi UpdateUserPoolClient API. Sertakan setelan saat ini dari klien aplikasi Anda dan setel EnableTokenRevocation parameternyatrue.

Saat Anda membuat klien kumpulan pengguna baru menggunakan AWS Management Console, the AWS CLI, atau AWS API, pencabutan token diaktifkan secara default.

Setelah Anda mengaktifkan pencabutan token, klaim baru ditambahkan di Amazon Cognito JSON Web Tokens. Klaim origin_jti dan jti ditambahkan ke token akses dan ID. Klaim ini meningkatkan ukuran akses klien aplikasi dan token ID.

Untuk membuat atau memodifikasi klien aplikasi dengan pencabutan token diaktifkan, sertakan parameter berikut dalam permintaan Anda CreateUserPoolClientatau UpdateUserPoolClientAPI.


"EnableTokenRevocation": true

Cabut token

Anda dapat mencabut token penyegaran menggunakan permintaan RevokeTokenAPI, misalnya dengan perintah CLIaws cognito-idp revoke-token. Anda juga dapat mencabut token menggunakan. Cabut titik akhir Titik akhir ini adalah tersedia setelah Anda menambahkan domain ke kolam pengguna Anda. Anda dapat menggunakan titik akhir pencabutan pada domain yang dihosting Amazon Cognito atau domain kustom Anda sendiri.

catatan

Permintaan Anda untuk mencabut token penyegaran harus menyertakan ID klien yang digunakan untuk mendapatkan token.

Berikut ini adalah isi dari permintaan RevokeToken API contoh.


{
   "ClientId": "1example23456789",
   "ClientSecret": "abcdef123456789ghijklexample",
   "Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}

Berikut ini adalah contoh permintaan cURL ke /oauth2/revoke titik akhir kumpulan pengguna dengan domain kustom.


curl --location 'auth.mydomain.com/oauth2/revoke' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic Base64Encode(client_id:client_secret)' \
--data-urlencode 'token=abcdef123456789ghijklexample' \
--data-urlencode 'client_id=1example23456789'

RevokeTokenOperasi dan /oauth2/revoke titik akhir tidak memerlukan otorisasi tambahan kecuali klien aplikasi Anda memiliki rahasia klien.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan token penyegaran

Memverifikasi JSON Web Token