Como usar tokens com grupos de usuários - Amazon Cognito

Como usar tokens com grupos de usuários

Autentique usuários e conceda acesso a recursos com tokens. Os tokens têm solicitações, que são informações sobre o usuário. O token de ID contém solicitações sobre a identidade do usuário autenticado, como nome e e-mail. O token de acesso contém reivindicações relacionadas ao usuário autenticado, uma lista dos grupos dos usuários e uma lista dos escopos.

O Amazon Cognito também tem tokens que você pode usar para obter novos tokens ou revogar tokens existentes. Refresh a token (Atualizar um token) para recuperar novos tokens de ID e de acesso. Revogar um token para revogar o acesso de usuário permitido por tokens de atualização.

O Amazon Cognito emite tokens como strings codificadas em Base64. Você pode decodificar qualquer ID ou token de acesso do Amazon Cognito de Base64 para JSON de texto sem formatação. Os tokens de atualização do Amazon Cognito são criptografados e não podem ser lidos por administradores ou usuários do Amazon Cognito.

Autenticação com tokens

Quando um usuário faz login na sua aplicação, o Amazon Cognito verifica as informações de login. Se o login é bem-sucedido, o Amazon Cognito cria uma sessão e retorna um token de ID, acesso e atualização para o usuário autenticado. Você pode usar os tokens para conceder aos usuários acesso aos seus próprios recursos no lado do servidor ou ao Amazon API Gateway. Outra opção é trocá-los por credenciais da AWS temporárias para acessar outros serviços da AWS.


      Visão geral de autenticação

Armazenar tokens

Sua aplicação deve ser capaz de armazenar tokens de tamanhos variados. O tamanho do token pode mudar por vários motivos, entre eles, declarações adicionais, alterações nos algoritmos de codificação e alterações nos algoritmos de criptografia. Quando você habilita a revogação de token em seu grupo de usuários, o Amazon Cognito adiciona declarações aos tokens da Web JSON, o que aumenta o tamanho deles. As novas declarações origin_jti e jti são adicionadas aos tokens de acesso e ID. Para obter mais informações sobre revogação de tokens, consulte Como revogar tokens.

Importante

A prática recomendada é proteger todos os tokens em trânsito e no armazenamento no contexto da sua aplicação. Os tokens podem conter informações de identificação pessoal sobre seus usuários e informações sobre o modelo de segurança que você usa para o grupo de usuários.