ユーザープールでのトークンの使用 - Amazon Cognito

ユーザープールでのトークンの使用

トークンを使用してユーザーを認証し、リソースへのアクセス権を付与します。トークンには、ユーザーに関する情報の一部であるクレームがあります。ID トークンには、名前や E メールなど、認証されたユーザーのアイデンティティに関するクレームが含まれています。アクセストークンには、認証されたユーザーに関するクレーム、ユーザーのグループのリスト、およびスコープのリストが含まれます。

Amazon Cognito には、新しいトークンを取得する、または既存のトークンを取り消すために使用できるトークンもあります。トークンを更新して、新しい ID とアクセストークンを取得します。トークンを取り消して、更新トークンによって許可されているユーザーアクセスを取り消します。

トークンを使用した認証

ユーザーがアプリケーションにサインインすると、Amazon Cognito がログイン情報を検証します。ログインが正常に行われると、Amazon Cognito がセッションを作成し、認証されたユーザーの ID トークン、アクセストークン、および更新トークンを返します。これらのトークンは、独自のサーバー側リソース、または Amazon API Gateway へのアクセス権をユーザーに付与するために使用できます。または、それらを AWS の他のサービスにアクセスするための一時的な AWS 認証情報と交換することができます。


      認証の概要

トークンの保存

アプリケーションでは、さまざまなサイズのトークンを保存する必要があります。トークンのサイズは、クレームの追加、エンコーディングアルゴリズムの変更、暗号化アルゴリズムの変更による理由(ただし、これらに限定されない)で変更される場合があります。ユーザープールでトークンの取り消しを有効にした場合も、Amazon Cognito が JSON ウェブトークンにクレームを追加するので、そのトークンのサイズは増加します。アクセストークンと ID トークンに対し、新たなクレーム origin_jti および jti が追加されます。トークンの取り消しの詳細については、「トークンの取り消し」を参照してください。

重要

アプリケーションの観点からみると、転送中と保存中のすべてのトークンを保護することがベストプラクティスです。トークンには、アプリケーションのユーザーに関する個人識別情報、およびユーザープールで使用するセキュリティモデルに関する情報を含めることができます。