사용자 풀에 토큰 사용
사용자를 인증하고 토큰으로 리소스에 대한 액세스 권한을 부여합니다. 토큰의 클레임은 사용자에 대한 정보입니다. ID 토큰에는 사용자 이름, 성, 이메일 주소와 같은 사용자의 신원에 대한 클레임이 포함되어 있습니다. 액세스 토큰에는 인증된 사용자가 서드 파티 API, Amazon Cognito 사용자 셀프 서비스 API 작업, UserInfo 엔드포인트에 액세스하는 데 사용할 수 있는 scope과 같은 클레임이 포함되어 있습니다. 액세스 토큰과 ID 토큰에는 모두 사용자 풀의 사용자 그룹 멤버십이 포함된 cognito:groups 클레임이 포함되어 있습니다.
Amazon Cognito에는 새 토큰을 얻거나 기존 토큰을 취소는 데 사용할 수 있는 토큰도 있습니다. 토큰을 새로 고쳐 새 ID와 액세스 토큰을 가져옵니다. 토큰을 취소하여 새로 고침 토큰을 통해 부여되는 사용자 액세스 권한을 취소할 수 있습니다.
Amazon Cognito는 Base64로 인코딩된 문자열으로 토큰을 발급합니다. 모든 Amazon Cognito ID 또는 액세스 토큰을 base64에서 일반 텍스트 JSON으로 디코딩할 수 있습니다. Amazon Cognito 새로 고침 토큰은 암호화되므로 Amazon Cognito 관리자 또는 사용자가 읽을 수 없습니다.
토큰으로 인증
사용자가 앱에 로그인하면 Amazon Cognito가 로그인 정보를 확인합니다. 성공적으로 로그인하면 Amazon Cognito가 세션을 생성하고 인증된 사용자를 위한 ID, 액세스 및 새로 고침 토큰을 반환합니다. 이 토큰을 사용하여 자체 서버 측 리소스 또는 Amazon API Gateway에 대한 액세스 권한을 부여할 수 있습니다. 또는 임시 AWS 자격 증명으로 다른 AWS 서비스에 액세스할 수 있도록 이 토큰을 교환할 수 있습니다.
토큰 저장
앱이 다양한 크기의 토큰을 저장할 수 있어야 합니다. 토큰 크기는 추가 클레임, 인코딩 알고리즘의 변경 및 암호화 알고리즘의 변경을 포함하되 이에 국한되지 않는 이유로 변경될 수 있습니다. 사용자 풀에서 토큰 취소를 활성화하면 Amazon Cognito가 JSON 웹 토큰에 추가 클레임을 추가하여 크기를 늘립니다. 새 클레임 origin_jti 및 jti가 액세스 토큰과 ID 토큰에 추가됩니다. 토큰 취소에 대한 자세한 내용은 토큰 철회를 참조하세요.
중요
모범 사례는 전송 중인 토큰 및 애플리케이션 컨텍스트의 스토리지에 있는 모든 토큰을 보호하는 것입니다. 토큰에는 사용자에 대한 개인 식별 정보와 사용자 풀에 사용하는 보안 모델에 대한 정보가 포함될 수 있습니다.
