사용자 존재 오류 응답 관리 - Amazon Cognito
인증 및 사용자 생성 작업암호 재설정 작업확인 작업

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 존재 오류 응답 관리

Amazon Cognito는 사용자 풀에서 반환하는 오류 응답을 사용자 지정하도록 지원합니다. 사용자 지정 오류 응답은 사용자 생성, 인증, 암호 복구 및 확인 작업에 사용할 수 있습니다.

사용자 풀 앱 클라이언트의 PreventUserExistenceErrors 설정을 사용하여 사용자 존재 여부와 관련한 오류를 사용하거나 사용하지 않도록 설정합니다. Amazon Cognito 사용자 풀을 사용하여 새 앱 클라이언트를 생성하는 API 경우 기본적으로 PreventUserExistenceErrors 활성화되거나 비활성화됩니다. LEGACY Amazon Cognito 콘솔에서는 사용자 존재 오류 방지 옵션 (ENABLEDPreventUserExistenceErrorsfor 설정) 이 기본적으로 선택됩니다. PreventUserExistenceErrors구성을 업데이트하려면 다음 중 하나를 수행하십시오.

  • LEGACYUpdateUserPoolClientAPI요청에서 ENABLEDPreventUserExistenceErrors 사이의 값을 변경하십시오.

  • Amazon Cognito 콘솔에서 앱 클라이언트를 편집하고 사용자 존재 오류 방지 상태를 선택 () 과 선택 취소 (ENABLED) 사이에서 변경합니다. LEGACY

이 속성의 값이 1인 경우LEGACY, 사용자가 사용자 풀에 없는 사용자 이름으로 로그인을 시도하면 앱 클라이언트가 UserNotFoundException 오류 응답을 반환합니다.

이 속성의 ENABLED 값이 1인 경우 앱 클라이언트는 UserNotFoundException 오류가 발생하여 사용자 풀에 사용자 계정이 존재하지 않는다고 알리지 않습니다. 의 PreventUserExistenceErrors ENABLED 구성은 다음과 같은 영향을 미칩니다.

  • Amazon Cognito는 요청에 대해 유효한 사용자의 존재가 드러날 수 있는 API 요청에 대해 비특정 정보로 응답합니다.

  • Amazon Cognito 로그인 및 비밀번호 분실 시 일반 인증 실패 응답이 APIs 반환됩니다. 이 오류 응답은 사용자 이름 또는 암호가 잘못되었음을 나타냅니다.

  • Amazon Cognito 계정 확인 및 암호 APIs 복구는 사용자 연락처 정보의 일부 표현 대신 시뮬레이션된 전송 매체로 코드가 전송되었음을 나타내는 응답을 반환합니다.

다음 정보는 로 설정된 PreventUserExistenceErrors 경우의 사용자 풀 작업 동작을 자세히 설명합니다. ENABLED

인증 및 사용자 생성 작업

사용자 이름-암호와 보안 원격 암호 () SRP 인증 모두에서 오류 응답을 구성할 수 있습니다. 사용자 지정 인증을 통해 반환되는 오류를 사용자 지정할 수도 있습니다. 다음은 이러한 인증 APIs 작업을 수행합니다.

  • AdminInitiateAuth

  • AdminRespondToAuthChallenge

  • InitiateAuth

  • RespondToAuthChallenge

다음 목록은 사용자 인증 작업에서 오류 응답을 사용자 지정하는 방법을 보여줍니다.

사용자 이름 및 암호 인증

ADMIN_USER_PASSWORD_AUTHUSER_PASSWORD_AUTH 를 사용하여 사용자를 로그인하려면 OR InitiateAuth API 요청에 사용자 이름과 비밀번호를 포함시키십시오. AdminInitiateAuth 사용자 이름 또는 암호가 올바르지 않으면 Amazon Cognito는 일반 NotAuthorizedException 오류를 반환합니다.

보안 원격 암호 (SRP) 기반 인증

USER_SRP_AUTH 사용자를 로그인하려면 AdminInitiateAuth or InitiateAuth API 요청에 사용자 이름과 SRP_A 매개변수를 포함하세요. 이에 대한 응답으로 Amazon Cognito는 사용자를 대신하여 SRP_B 반환하고 솔트합니다. 사용자를 찾을 수 없는 경우 Amazon Cognito는 5054에 설명된 대로 첫 번째 단계에서 시뮬레이션된 응답을 반환합니다. RFC Amazon Cognito는 동일한 사용자 이름 및 사용자 풀 조합에 대해 동일한 솔트와 내부 사용자 ID를 UUID형식으로 반환합니다. 암호 증명이 포함된 RespondToAuthChallenge API 요청을 보내면 사용자 이름 또는 암호가 올바르지 않으면 Amazon Cognito에서 일반 NotAuthorizedException 오류를 반환합니다.

참고

확인 기반 별칭 속성을 사용하고 변경할 수 없는 사용자 이름이 a 형식으로 지정되지 않은 경우 사용자 이름 및 암호 인증을 통해 일반 응답을 시뮬레이션할 수 있습니다. UUID

사용자 지정 인증 문제 Lambda 트리거

사용자 지정 인증 문제 Lambda 트리거를 사용하고 오류 응답을 사용하는 경우 LambdaChallengeUserNotFound라는 부울 파라미터를 반환합니다. 이 파라미터는 DefineAuthChallenge, VerifyAuthChallengeCreateAuthChallenge Lambda 트리거의 요청에 전달됩니다. 이 트리거를 사용하여 존재하지 않는 사용자에 대해 사용자 지정 권한 부여 문제를 시뮬레이션할 수 있습니다. 존재하지 않는 사용자에 대해 사전 인증 Lambda 트리거를 호출하면 Amazon Cognito가 UserNotFound를 반환합니다.

다음 목록은 사용자 생성 작업에서 오류 응답을 사용자 지정하는 방법을 보여줍니다.

SignUp

이미 사용자 이름을 사용한 경우 SignUp 작업이 항상 반환됩니다. UsernameExistsException 앱에서 사용자를 등록할 때 Amazon Cognito가 이메일 주소 및 전화번호에 대한 UsernameExistsException 오류를 반환하지 않게 하려면, 확인 기반 별칭 속성을 사용해야 합니다. 별칭에 대한 자세한 내용은 로그인 속성 사용자 지정을 참조하십시오.

Amazon Cognito가 사용자 풀의 사용자 검색 SignUp API 요청 사용을 방지하는 방법에 대한 예는 을 참조하십시오. 가입 시 이메일 주소 및 전화 번호 관련 UsernameExistsException 오류 방지

가져온 사용자

PreventUserExistenceErrors를 사용하는 경우 가져온 사용자를 인증하는 중에 PasswordResetRequiredException이 반환되지 않고 대신 사용자 이름 또는 암호가 잘못되었음을 나타내는 일반 NotAuthorizedException 오류가 반환됩니다. 자세한 내용은 가져온 사용자에게 암호 재설정 요구를 참조하세요.

사용자 마이그레이션 Lambda 트리거

Amazon Cognito는 Lambda 트리거에서 원래 이벤트 컨텍스트에 빈 응답이 설정된 경우 존재하지 않는 사용자에 대해 시뮬레이션된 응답을 반환합니다. 자세한 내용은 사용자 마이그레이션 Lambda 트리거를 참조하세요.

가입 시 이메일 주소 및 전화 번호 관련 UsernameExistsException 오류 방지

다음 예제는 사용자 풀에서 별칭 속성을 구성할 때 요청에 대한 응답으로 중복된 이메일 주소와 전화 번호에 UsernameExistsException 오류가 발생하지 않도록 하는 방법을 보여줍니다. SignUp API 이메일 주소나 전화 번호를 별칭 속성으로 사용하여 사용자 풀을 생성해야 합니다. 자세한 내용은 사용자 풀 속성로그인 특성 사용자 지정 섹션을 참조하세요.

  1. Jie는 새 사용자 이름을 등록하고 이메일 주소(jie@example.com)도 입력합니다. Amazon Cognito가 이 이메일 주소로 확인 코드를 전송합니다.

    예제 명령 AWS CLI 

    aws cognito-idp sign-up --client-id 1234567890abcdef0 --username jie --password PASSWORD --user-attributes Name="email",Value="jie@example.com"

    응답의 예

    {
    "UserConfirmed": false, 
    "UserSub": "<subId>", 
    "CodeDeliveryDetails": {
        "AttributeName": "email", 
        "Destination": "j****@e****", 
        "DeliveryMedium": "EMAIL"
    }
}

  2. Jie는 전송된 코드를 입력하여 이메일 주소의 소유권을 확인합니다. 이로써 사용자 등록이 완료됩니다.

    예제 AWS CLI 명령

    aws cognito-idp confirm-sign-up --client-id 1234567890abcdef0 --username=jie --confirmation-code xxxxxx

  3. Shirley는 새 사용자 계정을 등록하고 이메일 주소(jie@example.com)를 입력합니다. Amazon Cognito는 UsernameExistsException 오류를 반환하지 않고, Jie의 이메일 주소로 확인 코드를 보냅니다.

    예제 AWS CLI 명령

    aws cognito-idp sign-up --client-id 1234567890abcdef0 --username shirley --password PASSWORD --user-attributes Name="email",Value="jie@example.com"

    응답의 예

    {
    "UserConfirmed": false, 
    "UserSub": "<new subId>", 
    "CodeDeliveryDetails": {
        "AttributeName": "email", 
        "Destination": "j****@e****", 
        "DeliveryMedium": "EMAIL"
    }
}

  4. 다른 시나리오에서는 Shirley 가 jie@example.com에 대한 소유권을 가집니다. 셜리는 Amazon Cognito가 Jie의 이메일 주소로 보낸 코드를 검색하고 계정 확인을 시도합니다.

    예제 AWS CLI 명령

    aws cognito-idp confirm-sign-up --client-id 1234567890abcdef0 --username=shirley --confirmation-code xxxxxx

    응답의 예

    An error occurred (AliasExistsException) when calling the ConfirmSignUp operation: An account with the email already exists.

jie@example.com이 기존 사용자에게 할당되었지만 Amazon Cognito는 Shirley의 aws cognito-idp sign-up 요청에 대해 오류를 반환하지 않습니다. Shirley는 Amazon Cognito가 오류 응답을 반환하기 전에 이메일 주소의 소유권을 입증해야 합니다. 별칭 속성이 있는 사용자 풀에서 이 동작으로 SignUp API 인해 퍼블릭은 지정된 이메일 주소 또는 전화 번호를 가진 사용자가 존재하는지 여부를 확인할 수 없습니다.

이 동작은 다음 예에서처럼 Amazon Cognito가 기존 사용자 이름과 함께 SignUp 요청에 반환하는 응답과는 다릅니다. Shirley는 이 응답을 통해 사용자 이름이 jie인 사용자가 이미 존재함을 알게 되지만, 이 사용자와 관련된 이메일 주소나 전화번호는 알지 못합니다.

CLI 명령 예

aws cognito-idp sign-up --client-id 1example23456789 --username jie --password PASSWORD
      --user-attributes Name="email",Value="shirley@example.com"

응답의 예

An error occurred (UsernameExistsException) when calling the SignUp operation: User already exists

암호 재설정 작업

Amazon Cognito는 사용자 존재 오류를 방지하면 사용자 암호 재설정 작업에 다음과 같은 응답을 반환합니다.

ForgotPassword

사용자를 찾을 수 없거나, 사용자가 비활성화되었거나, 암호를 복구할 수 있는 확인된 전달 메커니즘이 없는 경우 Amazon Cognito는 사용자에 대해 시뮬레이션된 전송 미디어와 함께 CodeDeliveryDetails를 반환합니다. 시뮬레이션된 전송 미디어는 사용자 풀의 입력 사용자 이름 형식 및 검증 설정에 따라 결정됩니다.

ConfirmForgotPassword

Amazon Cognito는 존재하지 않거나 사용 중지된 사용자에 대해 CodeMismatchException 오류를 반환합니다. ForgotPassword를 사용할 때 코드가 요청되지 않은 경우 Amazon Cognito가 ExpiredCodeException 오류를 반환합니다.

확인 작업

Amazon Cognito는 사용자 존재 오류를 방지하는 경우 사용자 확인 및 검증 작업에 다음과 같은 응답을 반환합니다.

ResendConfirmationCode

Amazon Cognito는 사용 중지되거나 존재하지 않는 사용자에 대해 CodeDeliveryDetails 오류를 반환합니다. Amazon Cognito는 기존 사용자의 이메일 또는 전화 번호로 확인 코드를 보냅니다.

ConfirmSignUp

ExpiredCodeException은 코드가 만료된 경우 반환됩니다. Amazon Cognito는 사용자에게 권한이 부여되지 않은 경우 NotAuthorizedException을 반환합니다. 서버에서 예상하는 코드와 일치하지 않는 경우 Amazon Cognito는 CodeMismatchException을 반환합니다.