Endpoint Logout

L'endpoint /logout è un endpoint di reindirizzamento. Disconnette l'utente e lo reindirizza a un URL di disconnessione autorizzato per il client dell'app o all'endpoint. /login I parametri disponibili in una richiesta GET all'endpoint /logout sono personalizzati per i casi d'uso dell'interfaccia utente ospitata Amazon Cognito.

Per reindirizzare l'utente all'interfaccia utente ospitata per effettuare nuovamente l'accesso, aggiungi un parametro redirect_urialla richiesta. Una richiesta logout con un parametro redirect_uri deve includere anche i parametri per la richiesta successiva a Endpoint Login, come client_id, response_type e scope.

L'endpoint di logout è un'applicazione web front-end per sessioni utente interattive con i tuoi clienti. L'app deve richiamare questo e altri endpoint dell'interfaccia utente ospitata nei browser degli utenti.

Per reindirizzare l'utente a una pagina preferita, aggiungi URL di disconnessione consentiti all'app del client. Nelle richieste degli utenti all'endpoint logout, aggiungi i parametri logout_uri e client_id. Se il valore di logout_uri è uno degli URL di disconnessione consentiti per il client dell'app, Amazon Cognito reindirizza gli utenti a tale URL.

Con il single logout (SLO) per SAML 2.0, Amazon IdPs Cognito reindirizza innanzitutto l'utente all'endpoint SLO definito nella configurazione IdP. Dopo che il tuo IdP ha reindirizzato l'utente a, Amazon saml2/logout Cognito risponde con un altro reindirizzamento alla o dalla tua richiesta. redirect_uri logout_uri Per ulteriori informazioni, consulta Flusso di disconnessione SAML.

L'endpoint di logout non disconnette gli utenti dall'OIDC o dai provider di identità social (). IdPs Per disconnettere gli utenti dalla sessione con un IdP esterno, indirizzali alla pagina di disconnessione di quel provider.

GET /logout

L'endpoint /logout supporta solo HTTPS GET. Il client del bacino d'utenza in genere invia questa richiesta tramite un browser di sistema. Il browser è in genere Custom Chrome Tab in Android o Safari View Control in iOS.

Parametri della richiesta

client_id

L'ID client dell'app per l'app. Per ottenere l'ID del client di un'app, devi registrare l'app nel bacino d'utenza. Per ulteriori informazioni, consulta Client dell'app pool di utenti.

Obbligatorio.

logout_uri

Reindirizza l'utente a una pagina di disconnessione personalizzata con un parametro logout_uri. Imposta il suo valore sull'URL di disconnessione del client dell'app a cui vuoi reindirizzare l'utente dopo la disconnessione. Utilizza logout_uri solo con il parametro client_id. Per ulteriori informazioni, consulta Client dell'app pool di utenti.

Puoi utilizzare il parametro logout_uri anche per reindirizzare l'utente alla pagina di accesso di un altro client di app. Imposta la pagina di accesso per l'altro client di app come Allowed callback URL (URL di callback consentito) nel tuo client di app. Nella richiesta all'endpoint /logout, imposta il valore del parametro logout_uri sulla pagina di accesso con codifica URL.

Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint /logout. Il parametro logout_uri reindirizza l'utente a un altro sito Web. Se nella richiesta all'endpoint /logout sono inclusi entrambi i parametri logout_uri e redirect_uri, Amazon Cognito utilizzerà esclusivamente il parametro logout_uri, sovrascrivendo il parametro redirect_uri.

redirect_uri

Reindirizza l'utente alla pagina di accesso per l'autenticazione con il parametro redirect_uri. Imposta il suo valore sull'URL di callback consentito del client dell'app dove vuoi reindirizzare l'utente quando questo ha nuovamente effettuato l'accesso. Utilizza i parametri client_id, scope, state e response_type che vuoi passare all'endpoint /login.

Amazon Cognito richiede un parametro logout_uri o redirect_uri nella richiesta all'endpoint /logout. Per reindirizzare l'utente all'/loginendpoint per effettuare nuovamente l'autenticazione e passare i token all'app, aggiungi un parametro redirect_uri. Se nella richiesta all'endpoint sono inclusi entrambi i parametri logout_uri e redirect_uri, /logout Amazon Cognito sovrascrive il parametro redirect_uri ed elabora esclusivamente il parametro logout_uri.

response_type

La risposta OAuth 2.0 che desideri ricevere da Amazon Cognito dopo l'accesso dell'utente. code e token sono i valori validi per il parametro response_type.

Obbligatorio se si utilizza un parametro redirect_uri.

stato

Quando l'applicazione aggiunge un parametro di stato a una richiesta, Amazon Cognito ne restituisce il valore all'app quando l'/oauth2/logoutendpoint reindirizza l'utente.

Aggiungi questo valore alle richieste di protezione contro attacchi CSRF.

Non è possibile impostare il valore di un parametro state su una stringa JSON con codifica URL. Per passare una stringa che corrisponda a questo formato in un state parametro, codifica la stringa in base64, quindi decodificala nell'applicazione.

Vivamente consigliato quando si utilizza un parametro redirect_uri.

scope

Gli ambiti OAuth 2.0 che desideri richiedere ad Amazon Cognito dopo averli disconnessi con un parametro redirect_uri. Amazon Cognito reindirizza l'utente all'endpoint /login con il parametro scopenella richiesta all'endpoint /logout.

Facoltativo quando si utilizza un parametro redirect_uri. Se non includi un parametro scope, Amazon Cognito reindirizza l'utente all'endpoint /login con un parametro scope. Quando Amazon Cognito reindirizza l'utente e compila automaticamente scope, il parametro include tutti gli ambiti autorizzati per il client di app.

Richieste di esempio

Esempio: disconnettersi e reindirizzare l'utente al client

Ad eccezione di logout_uri eclient_id, tutti i possibili parametri di interrogazione per questo endpoint vengono passati a. Endpoint Authorize Quando le richieste includono logout_uri e client_id, Amazon Cognito reindirizza le sessioni utente all'URL nel valore di logout_uri, ignorando tutti gli altri parametri di richiesta. Questo URL deve essere un URL di disconnessione autorizzato per il client dell'app.

Di seguito è riportato un esempio di richiesta di disconnessione e reindirizzamento a https://www.example.com/welcome.


GET https://mydomain.auth.us-east-1.amazoncognito.com/logout?
  client_id=1example23456789&
  logout_uri=https%3A%2F%2Fwww.example.com%2Fwelcome

Esempio: disconnettersi e richiedere all'utente di accedere come altro utente

Quando le richieste omettono logout_uri ma forniscono in altro modo i parametri che costituiscono una richiesta ben formata all'endpoint di autorizzazione, Amazon Cognito reindirizza gli utenti all'accesso all'interfaccia utente ospitata. L'endpoint di disconnessione aggiunge i parametri della richiesta originale alla destinazione di reindirizzamento. Il parametro redirect_uri in una richiesta all'endpoint di disconnessione non è un URL di disconnessione, ma un URL di accesso che desideri trasmettere all'endpoint di autorizzazione.

Di seguito è riportato un esempio di richiesta che disconnette un utente, reindirizza alla pagina di accesso e fornisce un codice di autorizzazione dopo l'accesso. https://www.example.com


GET https://mydomain.auth.us-east-1.amazoncognito.com/logout?
  response_type=code&
  client_id=1example23456789&
  redirect_uri=https%3A%2F%2Fwww.example.com&
  state=example-state-value&
  nonce=example-nonce-value&
  scope=openid+profile+aws.cognito.signin.user.admin

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Endpoint Login

Documentazione di riferimento degli endpoint di federazione