As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Armazenar tokens em cache
Seu aplicativo deve concluir com êxito uma das solicitações a seguir sempre que você quiser obter um novo JSON Web Token (JWT).
-
Solicite as credenciais do cliente ou a concessão
do código de autorização do Endpoint de token. -
Solicite uma concessão implícita de sua UI hospedada.
-
Autentique um usuário local em uma solicitação do Amazon API Cognito, como. InitiateAuth
Você pode configurar o grupo de usuários para definir que os tokens expirem em minutos, horas ou dias. Para garantir o desempenho e a disponibilidade do seu aplicativo, use os tokens do Amazon Cognito por cerca de 75% da vida útil do token e só então recupere novos tokens. Uma solução de cache que você cria para a aplicação mantém os tokens disponíveis e evita a rejeição de solicitações do Amazon Cognito quando a taxa de solicitação é muito alta. Uma aplicação do lado do cliente deve armazenar tokens em um cache de memória. Uma aplicação do lado do servidor pode adicionar um mecanismo de cache criptografado para armazenar tokens.
Quando seu grupo de usuários gera um grande volume de usuários ou machine-to-machine atividades, você pode encontrar os limites que o Amazon Cognito define para o número de solicitações de tokens que você pode fazer. Para reduzir o número de solicitações realizadas aos endpoints do Amazon Cognito, você pode armazenar e reutilizar dados de autenticação com segurança ou implementar recuos exponenciais e novas tentativas.
Os dados de autenticação originam-se de duas classes de endpoints. Os endpoints do Amazon Cognito OAuth 2.0 incluem o endpoint de token, que atende às credenciais do cliente e às solicitações de código de autorização de interface do usuário hospedado. Os endpoints de serviço respondem a API solicitações de grupos de usuários, como InitiateAuth e. RespondToAuthChallenge Cada tipo de solicitação tem seu próprio limite. Para obter mais informações sobre limites, consulte Cotas no Amazon Cognito.
Armazenando tokens de machine-to-machine acesso em cache com o Amazon API Gateway
Com o armazenamento em cache de tokens do API Gateway, seu aplicativo pode ser escalado em resposta a eventos maiores do que a cota de taxa de solicitação padrão dos endpoints do Amazon OAuth Cognito.
É possível armazenar os tokens de acesso em cache para que a aplicação solicite apenas um novo token de acesso se o token armazenado em cache expirar. Do contrário, o armazenamento do endpoint em cache retornará um token do cache. Isso evita uma chamada adicional para um endpoint do Amazon CognitoAPI. Quando você usa o Amazon API Gateway como proxy doEndpoint de token, você API responde à maioria das solicitações que, de outra forma, contribuiriam para sua cota de solicitações, evitando solicitações malsucedidas como resultado da limitação de taxa.
A seguinte solução API baseada em Gateway oferece uma implementação de cache de token de baixa latência, baixo código/sem código. APIAPIsOs gateways são criptografados em trânsito e, opcionalmente, em repouso. Um cache de API gateway é ideal para a concessão de credenciais de cliente OAuth 2.0, um tipo de concessão
Nessa solução, você define um cache em seu API para armazenar um token de acesso separado para cada combinação de OAuth escopos e cliente de aplicativo que você deseja solicitar em seu aplicativo. Quando seu aplicativo faz uma solicitação que corresponde à chave de cache, você API responde com um token de acesso que o Amazon Cognito emitiu para a primeira solicitação correspondente à chave de cache. Quando a duração da chave de cache expira, você API encaminha a solicitação para o endpoint do token e armazena em cache um novo token de acesso.
nota
A duração da chave de cache deve ser menor do que a duração do token de acesso do cliente da aplicação.
A chave de cache é uma combinação dos OAuth escopos que você solicita no scope URL parâmetro e do Authorization cabeçalho na solicitação. O cabeçalho Authorization contém o ID do cliente da aplicação e o respectivo segredo. Você não precisa implementar lógica adicional na aplicação para implementar essa solução. Você só deve atualizar sua configuração para alterar o caminho para o endpoint do token do grupo de usuários.
Você também pode implementar o armazenamento em cache de tokens com ElastiCache (Redis OSS). Para um controle refinado com AWS Identity and Access Management (IAM) políticas, considere um cache do Amazon DynamoDB.
nota
O armazenamento em cache no API Gateway está sujeito a um custo adicional. Para obter mais detalhes, consulte a definição de preço.
Para configurar um proxy de cache com API o Gateway
-
Abra o console do API Gateway
e crie um RESTAPI. -
Em Recursos, crie um POST método.
-
Escolha o tipo de HTTP integração.
-
Selecione Usar integração de HTTP proxy.
-
Insira um endpoint URL de.
https://<your user pool domain>/oauth2/token
-
-
Em Resources (Recursos), configure a chave de cache.
-
Edite a solicitação de método do seu POST método.
-
Defina o parâmetro
scopee o cabeçalhoAuthorizationcomo sua chave de armazenamento em cache.-
Adicione uma sequência de caracteres de consulta aos parâmetros da sequência de caracteres de URL consulta e escolha Armazenamento em cache para a
scopesequência de caracteres. -
Adicione um cabeçalho para HTTPsolicitar cabeçalhos e escolha Armazenamento em cache para o
Authorizationcabeçalho.
-
-
-
Em Stages (Estágios), configure o armazenamento em cache.
-
Selecione o estágio que deseja modificar.
-
Em Configurações, selecione Ativar API cache.
-
Selecione uma Cache capacity (Capacidade de cache).
-
Escolha um Cache time-to-live (TTL) de pelo menos 3600 segundos.
-
Desmarque a caixa de seleção Exigir autorização.
-
-
Em Estágios, observe a Invocação. URL
-
Atualize seu aplicativo para enviar solicitações de POST token para o Invoke URL do seu, API em vez do
/oauth2/tokenendpoint do seu grupo de usuários.
