As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode revogar tokens de atualização e sessões de usuário final com os métodos a seguir. Quando você revoga um token de atualização, todos os tokens de acesso que foram emitidos anteriormente por esse token de atualização se tornam inválidos. Os outros tokens de atualização emitidos para o usuário não são afetados.
- RevokeToken operação
-
RevokeTokenrevoga todos os tokens de acesso de um determinado token de atualização, incluindo o token de acesso inicial do login interativo. Essa operação não afeta nenhum dos outros tokens de atualização do usuário nem os filhos de ID e token de acesso desses outros tokens de atualização.
- Ponto final de revogação
-
O endpoint revoke revoga um determinado token de atualização e todos os tokens de ID e acesso que o token de atualização gerou. Esse endpoint também revoga o token de acesso inicial do login interativo. As solicitações para esse endpoint não afetam nenhum dos outros tokens de atualização do usuário nem os filhos de ID e token de acesso desses outros tokens de atualização.
- GlobalSignOut
-
GlobalSignOuté uma operação de autoatendimento que um usuário autoriza com seu token de acesso. Essa operação revoga todos os tokens de atualização, ID e acesso do usuário solicitante.
- AdminUserGlobalSignOut
-
AdminUserGlobalSignOuté uma operação do lado do servidor que um administrador autoriza com credenciais do IAM. Essa operação revoga todos os tokens de atualização, ID e acesso do usuário alvo.
nota
O grupo de usuários JWTs é independente, com uma assinatura e um prazo de expiração que foram atribuídos quando o token foi criado. Tokens revogados não podem ser usados com chamadas de API do Amazon Cognito que exijam um token. No entanto, os tokens revogados ainda serão válidos se forem verificados usando qualquer biblioteca JWT que verifique a assinatura e a validade do token.
Antes de poder revogar um token para um cliente de grupo de usuários existente, você deve habilitar a revogação de token. Quando você cria um novo cliente do grupo de usuários, a revogação de token é habilitada por padrão.
Habilitar revogação de token
Antes de poder revogar um token para um cliente de grupo de usuários existente, você deve habilitar a revogação de token. Você pode ativar a revogação de token para clientes de grupos de usuários existentes usando a AWS CLI
ou a AWS API. Para isso, chame o comando de CLI aws cognito-idp
describe-user-pool-client ou a operação de API DescribeUserPoolClient para recuperar as configurações atuais do cliente de aplicação. Depois, chame o comando de CLI aws
cognito-idp update-user-pool-client ou a operação de API UpdateUserPoolClient. Inclua as configurações atuais do cliente de aplicação e defina o parâmetro EnableTokenRevocation como true.
Quando você cria um novo cliente de grupo de usuários usando a AWS Management Console, a ou a AWS API AWS CLI, a revogação de token é ativada por padrão.
Após a habilitação da revogação de tokens, novas solicitações são adicionadas aos tokens web JSON do Amazon Cognito. As solicitações origin_jti e jti são adicionadas aos tokens de acesso e de ID. Essas solicitações aumentam o tamanho do acesso do cliente de aplicação e de tokens de ID.
Para criar ou modificar um cliente de aplicativo com a revogação de token ativada, inclua o seguinte parâmetro na sua solicitação CreateUserPoolClientou na sua solicitação de UpdateUserPoolClientAPI.
"EnableTokenRevocation": true
Revogar um token
Você pode revogar um token de atualização usando uma solicitação de RevokeTokenAPI, por exemplo, com o comando CLIaws cognito-idp
revoke-token. Você também pode revogar tokens usando o Revogar endpoint. Esse endpoint fica disponível depois que você adiciona um domínio ao seu grupo de usuários. Você pode usar o endpoint de revogação em um domínio hospedado do Amazon Cognito ou no seu próprio domínio personalizado.
nota
A solicitação para revogar um token de atualização deve incluir ID do cliente que foi usado para obter o token.
Veja a seguir o corpo de um exemplo de uma solicitação de API RevokeToken.
{
"ClientId": "1example23456789",
"ClientSecret": "abcdef123456789ghijklexample",
"Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}Veja a seguir um exemplo de solicitação cURL para o endpoint /oauth2/revoke de um grupo de usuários com um domínio personalizado.
curl --location 'auth.mydomain.com/oauth2/revoke' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --header 'Authorization: BasicBase64Encode(client_id:client_secret)' \ --data-urlencode 'token=abcdef123456789ghijklexample' \ --data-urlencode 'client_id=1example23456789'
A operação RevokeToken e o endpoint /oauth2/revoke não precisam de autorização adicional, a menos que o cliente de aplicação tenha um segredo de cliente.
