Revoca dei token - Amazon Cognito
Abilitazione della revoca dei tokenRevoca di un token

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revoca dei token

Puoi revocare un token di aggiornamento per un utente utilizzando l'API. AWS Quando si revoca un token di aggiornamento, tutti i token di accesso precedentemente emessi da tale token di aggiornamento diventano non validi. Gli altri token di aggiornamento rilasciati all'utente non sono interessati da questa operazione.

Nota

I token JWT includono una firma e una scadenza indipendenti assegnate al momento della creazione. I token revocati non possono essere utilizzati con chiamate API Amazon Cognito che richiedono un token. Tuttavia, i token revocati saranno comunque validi se vengono verificati utilizzando una qualsiasi libreria JWT che verifica la firma e la scadenza del token.

È possibile revocare un token di aggiornamento per il client di un bacino d'utenza se la revoca di token è abilitata. Quando crei un nuovo client del bacino d'utenza, la revoca dei token è attivata di default.

Abilitazione della revoca dei token

Prima di poter revocare un token per un client del bacino d'utenza esistente, è necessario abilitare la revoca del token. È possibile abilitare la revoca del token per i client del pool di utenti esistenti utilizzando o l' AWS CLI API. AWS Per fare ciò, chiama il comando aws cognito-idp describe-user-pool-client della CLI o l'operazione API DescribeUserPoolClient per recuperare le impostazioni correnti dal client app. Quindi, chiama il comando aws cognito-idp update-user-pool-client della CLI o l'operazione API UpdateUserPoolClient. Includi le impostazioni correnti dal client app e imposta il parametro EnableTokenRevocation su true.

Quando si crea un nuovo client con pool di utenti utilizzando l' AWS Management Console, la o l' AWS API AWS CLI, la revoca dei token è abilitata per impostazione predefinita.

Dopo aver abilitato la revoca dei token, nuove richieste vengono aggiunte nei token web JSON di Amazon Cognito. Le attestazioni origin_jti e jti vengono aggiunte ai token di accesso e ID. Queste attestazioni aumentano le dimensioni dei token ID e di accesso del client dell'app.

Per creare o modificare un client di app con la revoca dei token abilitata, includi il seguente parametro nella tua richiesta CreateUserPoolCliento UpdateUserPoolClientAPI.

"EnableTokenRevocation": true

Revoca di un token

È possibile revocare un token di aggiornamento utilizzando una richiesta RevokeTokenAPI, ad esempio con il comando aws cognito-idp revoke-token CLI. Puoi anche revocare i token usando il Endpoint Revoke. Questo endpoint diventa disponibile dopo l'aggiunta di un dominio al bacino d'utenza. Puoi utilizzare l'endpoint di revoca su un dominio ospitato Amazon Cognito o sul tuo dominio personalizzato.

Nota

La richiesta per revocare un token di aggiornamento deve includere l'ID client utilizzato per ottenerlo.

Di seguito è riportato il corpo di una richiesta API RevokeToken di esempio.

{
   "ClientId": "1example23456789",
   "ClientSecret": "abcdef123456789ghijklexample",
   "Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}

Di seguito è riportato un esempio di richiesta cURL all'endpoint /oauth2/revoke di un pool di utenti con un dominio personalizzato.

curl --location 'auth.mydomain.com/oauth2/revoke' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic Base64Encode(client_id:client_secret)' \
--data-urlencode 'token=abcdef123456789ghijklexample' \
--data-urlencode 'client_id=1example23456789'

L'operazione RevokeToken e l'endpoint /oauth2/revoke non richiedono alcuna autorizzazione aggiuntiva a meno che il client dell'app non disponga di un segreto del client.