OAuth2.0 보조금

Amazon Cognito 사용자 풀 OAuth 2.0 인증 서버는 세 가지 유형의 OAuth 2.0 권한 부여에 대한 응답으로 토큰을 발급합니다. 사용자 풀의 각 앱 클라이언트에 대해 지원되는 권한 부여 유형을 설정할 수 있습니다. 암시적 또는 인증 코드 권한 부여와 동일한 앱 클라이언트에서 클라이언트 보안 인증 권한 부여를 활성화할 수 없습니다. 암시적 및 인증 코드 권한 부여에 대한 요청은 권한 부여 엔드포인트에서 시작되고, 클라이언트 보안 인증 권한 부여 요청은 Token 엔드포인트에서 시작됩니다.

인증 코드 권한 부여

인증 요청이 성공하면 권한 부여 서버가 code 파라미터의 인증 코드를 콜백에 추가합니다. URL 그런 다음 ID, 액세스 및 새로 고침 토큰에 대한 코드를 Token 엔드포인트와 교환해야 합니다. 인증 코드 권한 부여를 요청하려면 요청에서 response_type을 code로 설정합니다. 요청 예시는 인증 코드 권한 부여 섹션을 참조하세요.

인증 코드 권한 부여는 가장 안전한 형태의 권한 부여입니다. 이는 토큰 내용을 사용자에게 직접 표시하지 않습니다. 대신 앱이 사용자 토큰을 검색하고 안전하게 저장하는 역할을 합니다. Amazon Cognito에서는 인증 코드 권한 부여가 권한 부여 서버에서 세 가지 토큰 유형(ID, 액세스 및 새로 고침)을 모두 얻는 유일한 방법입니다. Amazon Cognito 사용자 풀을 통한 인증에서도 세 가지 토큰 유형을 모두 가져올 수 있지만API, 는 범위가 아닌 액세스 토큰을 발급하지 API 않습니다. aws.cognito.signin.user.admin

암시적 허용

인증 요청 성공에 대한 응답으로 권한 부여 서버는 파라미터의 액세스 토큰과 access_token 파라미터의 ID 토큰을 id_token 콜백에 추가합니다. URL 암시적 권한 부여에는 Token 엔드포인트와의 추가 상호 작용이 필요하지 않습니다. 암시적 권한 부여를 요청하려면 요청에서 response_type을 token으로 설정합니다. 암시적 권한 부여는 ID와 액세스 토큰만 생성합니다. 요청 예시는 openid 범위가 없는 토큰 부여 섹션을 참조하세요.

암시적 권한 부여는 레거시 권한 부여입니다. 인증 코드 권한 부여와 달리 사용자가 토큰을 가로채고 검사할 수 있습니다. 암시적 권한 부여를 통한 토큰 전달을 방지하려면 인증 코드 권한 부여만 지원하도록 앱 클라이언트를 구성합니다.

클라이언트 자격 증명

클라이언트 자격 증명은 권한 부여 전용 액세스 권한입니다. machine-to-machine 클라이언트 보안 인증 권한 부여를 받으려면 권한 부여 엔드포인트를 우회하고 Token 엔드포인트에 직접 요청을 생성합니다. 앱 클라이언트는 클라이언트 암호를 가져야 하며 클라이언트 보안 인증 권한 부여만 지원해야 합니다. 성공적인 요청에 대한 응답으로 권한 부여 서버는 액세스 토큰을 반환합니다.

클라이언트 자격 증명 부여의 액세스 토큰은 2.0 범위를 포함하는 OAuth 권한 부여 메커니즘입니다. 일반적으로 토큰에는 access protected HTTP 작업을 승인하는 사용자 지정 범위 할당이 포함됩니다. APIs 자세한 내용은 리소스 서버를 통한 범위, M2M 및 API 권한 부여 단원을 참조하십시오.

클라이언트 자격 증명 부여는 청구서에 비용을 추가합니다. AWS 자세한 내용은 Amazon Cognito 요금을 참조하세요.

이러한 권한 부여 및 구현에 대한 자세한 내용은 Amazon Cognito에서 OAuth 2.0을 사용하는 방법: AWS 보안 블로그에서 다양한 OAuth 2.0 부여에 대해 알아보기를 참조하십시오.