As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar tokens com grupos de usuários
Autentique usuários e conceda acesso a recursos com tokens. As reivindicações em tokens são informações sobre o usuário. O token de ID contém declarações sobre a identidade dele, como nome de usuário, nome de família e endereço de e-mail. O token de acesso contém reivindicações como o scope que o usuário autenticado pode usar para acessar APIs de terceiro, operações de API de autoatendimento de usuários do Amazon Cognito e o Endpoint do UserInfo. Tanto o token de acesso quanto o de ID incluem uma declaração cognito:groups que contém a associação do usuário ao grupo de usuários. Para obter mais informações sobre grupos de usuários, consulte Como adicionar grupos a um grupo de usuários.
O Amazon Cognito também tem tokens de atualização que você pode usar para obter novos tokens ou revogar tokens existentes. Refresh a token (Atualizar um token) para recuperar novos tokens de ID e de acesso. Revogar um token para revogar o acesso de usuário permitido por tokens de atualização.
O Amazon Cognito emite tokens como strings codificadas em Base64. Você pode decodificar qualquer ID ou token de acesso do Amazon Cognito de Base64 para JSON em texto sem formatação. Os tokens de atualização do Amazon Cognito são criptografados, opacos para usuários e administradores de grupos de usuários e só podem ser lidos pelo seu grupo de usuários.
Autenticação com tokens
Quando um usuário faz login na sua aplicação, o Amazon Cognito verifica as informações de login. Se o login for bem-sucedido, o Amazon Cognito criará uma sessão e retornará um token de ID, um de acesso e um de atualização para o usuário autenticado. É possível usar os tokens para conceder aos usuários acesso aos recursos e APIs de downstream, como o Amazon API Gateway. Outra opção é trocá-los por credenciais da AWS temporárias para acessar outros Serviços da AWS.
Armazenar tokens
Sua aplicação deve ser capaz de armazenar tokens de tamanhos variados. O tamanho do token pode mudar por vários motivos, entre eles, declarações adicionais, alterações nos algoritmos de codificação e alterações nos algoritmos de criptografia. Quando você habilita a revogação de token no grupo de usuários, o Amazon Cognito adiciona declarações de token web JSON, o que aumenta o tamanho deles. As novas declarações origin_jti e jti são adicionadas aos tokens de acesso e ID. Para obter mais informações sobre revogação de tokens, consulte Como revogar tokens.
Importante
Como prática recomendada, proteja todos os tokens em trânsito e no armazenamento no contexto da aplicação. Os tokens podem conter informações de identificação pessoal sobre seus usuários e informações sobre o modelo de segurança que você usa para o grupo de usuários.
Personalização de tokens
É possível personalizar os tokens de acesso e ID transmitidos pelo Amazon Cognito à aplicação. Em um Acionador do Lambda antes da geração do token, é possível adicionar, modificar e suprimir declarações de token. O gatilho de pré-geração de tokens é uma função do Lambda para a qual o Amazon Cognito envia um conjunto padrão de declarações. As declarações incluem escopos do OAuth 2.0, associação a grupos de usuários, atributos de usuário e outros. A função pode então aproveitar a oportunidade para fazer alterações em runtime e retornar declarações de token atualizadas para o Amazon Cognito.
Custos adicionais se aplicam à personalização do token de acesso com eventos da versão 2. Para mais informações, consulte Preços do Amazon Cognito
Tópicos
