トークン失効エンドポイント - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トークン失効エンドポイント

セッションで更新トークンを保持するユーザーには、ブラウザの Cookie のようなものがあります。更新トークンが有効である限り、既存のセッションを更新できます。ID またはアクセストークンの有効期限が切れた後にサインインするようにユーザーに促す代わりに、アプリケーションは更新トークンを使用して新しい有効なトークンを取得できます。ただし、ユーザーのセッションを終了する必要があると外部で判断したり、ユーザーが現在のセッションを忘れたりすることがあります。この時点で、その更新トークンを取り消すことで、セッションを永続化できなくなります。

/oauth2/revoke エンドポイントは、指定した更新トークンを使用して Amazon Cognito が最初に発行したユーザーのアクセストークンを取り消します。また、このエンドポイントは、更新トークン自体、および後続のすべてのアクセストークンと ID トークンを同じ更新トークンから取り消します。エンドポイントがトークンを取り消すと、取り消されたアクセストークンを使用して Amazon Cognito トークンが認証APIsするアクセスすることはできません。

POST /oauth2/revoke

/oauth2/revoke エンドポイントは HTTPS POST のみをサポートします。ユーザープールクライアントは、システムブラウザ経由ではなくこのエンドポイントに直接リクエストを送信します。

ヘッダーのリクエストパラメータ

Authorization

アプリケーションクライアントにクライアントシークレットがある場合、アプリケーションは基本認証を介してHTTP認証ヘッダーclient_secret内の client_idと を渡す必要があります。シークレットはベーシック Base64Encode(client_id:client_secret) です。

Content-Type

常に 'application/x-www-form-urlencoded' にする必要があります。

本文のリクエストパラメータ

token

(必須) クライアントが取り消す更新トークン。このリクエストは、Amazon Cognito がこの更新トークンで発行したすべてのアクセストークンも無効にします。

必須。

client_id

(オプション) 取り消すトークンのアプリケーションクライアント ID。

クライアントがパブリックでありシークレットがない場合は必須です。

取り消しリクエストの例

この取り消しリクエストは、クライアントシークレットを持たないアプリケーションクライアントの更新トークンを取り消します。リクエスト本文に client_idパラメータを書き留めます。

POST /oauth2/revoke HTTP/1.1 Host: https://mydomain.auth.us-east-1.amazoncognito.com Accept: application/json Content-Type: application/x-www-form-urlencoded token=2YotnFZFEjr1zCsicMWpAA& client_id=djc98u3jiedmi283eu928

この取り消しリクエストは、クライアントシークレットを持つアプリケーションクライアントの更新トークンを取り消します。エンコードされたクライアント ID とクライアントシークレットを含むが、リクエスト本文client_idには含まれていないAuthorizationヘッダーに注意してください。

POST /oauth2/revoke HTTP/1.1 Host: https://mydomain.auth.us-east-1.amazoncognito.com Accept: application/json Content-Type: application/x-www-form-urlencoded Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW token=2YotnFZFEjr1zCsicMWpAA

取り消しエラーレスポンス

正常なレスポンスには空のボディが含まれています。エラーレスポンスは、 errorフィールド、場合によっては error_descriptionフィールドを持つJSONオブジェクトです。

エンドポイントエラー

  • トークンがリクエストに存在しない場合、またはアプリケーションクライアントでこの機能が無効になっている場合は、400 HTTP とエラー が表示されますinvalid_request

  • Amazon Cognito が失効リクエストで送信したトークンが更新トークンでない場合、400 HTTP とエラー を受け取りますunsupported_token_type

  • クライアント認証情報が有効でない場合、401 HTTP とエラー が表示されますinvalid_client

  • トークンが取り消された場合、またはクライアントが無効なトークンを送信した場合、200 OK HTTP を受け取ります。