Habilitar revogação de token Revogar um token

Como revogar tokens

Você pode revogar um token de atualização para um usuário usando a AWS API. Quando você revoga um token de atualização, todos os tokens de acesso que foram emitidos anteriormente por esse token de atualização se tornam inválidos. Os outros tokens de atualização emitidos para o usuário não são afetados.

nota

Tokens JWT são independentes com uma assinatura e um tempo de validade que foi atribuído quando o token foi criado. Tokens revogados não podem ser usados com chamadas de API do Amazon Cognito que exijam um token. No entanto, os tokens revogados ainda serão válidos se forem verificados usando qualquer biblioteca JWT que verifique a assinatura e a validade do token.

Antes de poder revogar um token para um cliente de grupo de usuários existente, você deve habilitar a revogação de token. Quando você cria um novo cliente do grupo de usuários, a revogação de token é habilitada por padrão.

Habilitar revogação de token

Antes de poder revogar um token para um cliente de grupo de usuários existente, você deve habilitar a revogação de token. Você pode ativar a revogação de token para clientes de grupos de usuários existentes usando a AWS CLI ou a AWS API. Para isso, chame o comando de CLI aws cognito-idp describe-user-pool-client ou a operação de API DescribeUserPoolClient para recuperar as configurações atuais do cliente de aplicação. Depois, chame o comando de CLI aws cognito-idp update-user-pool-client ou a operação de API UpdateUserPoolClient. Inclua as configurações atuais do cliente de aplicação e defina o parâmetro EnableTokenRevocation como true.

Quando você cria um novo cliente de grupo de usuários usando a AWS Management Console, a ou a AWS API AWS CLI, a revogação de token é ativada por padrão.

Após a habilitação da revogação de tokens, novas solicitações são adicionadas aos tokens web JSON do Amazon Cognito. As solicitações origin_jti e jti são adicionadas aos tokens de acesso e de ID. Essas solicitações aumentam o tamanho do acesso do cliente de aplicação e de tokens de ID.

Para criar ou modificar um cliente de aplicativo com a revogação de token ativada, inclua o seguinte parâmetro na sua solicitação CreateUserPoolClientou na sua solicitação de UpdateUserPoolClientAPI.


"EnableTokenRevocation": true

Revogar um token

Você pode revogar um token de atualização usando uma solicitação de RevokeTokenAPI, por exemplo, com o comando CLIaws cognito-idp revoke-token. Você também pode revogar tokens usando o Revogar endpoint. Esse endpoint fica disponível depois que você adiciona um domínio ao seu grupo de usuários. Você pode usar o endpoint de revogação em um domínio hospedado do Amazon Cognito ou no seu próprio domínio personalizado.

nota

A solicitação para revogar um token de atualização deve incluir ID do cliente que foi usado para obter o token.

Veja a seguir o corpo de um exemplo de uma solicitação de API RevokeToken.


{
   "ClientId": "1example23456789",
   "ClientSecret": "abcdef123456789ghijklexample",
   "Token": "eyJjdHkiOiJKV1QiEXAMPLE"
}

Veja a seguir um exemplo de solicitação cURL para o endpoint /oauth2/revoke de um grupo de usuários com um domínio personalizado.


curl --location 'auth.mydomain.com/oauth2/revoke' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--header 'Authorization: Basic Base64Encode(client_id:client_secret)' \
--data-urlencode 'token=abcdef123456789ghijklexample' \
--data-urlencode 'client_id=1example23456789'

A operação RevokeToken e o endpoint /oauth2/revoke não precisam de autorização adicional, a menos que o cliente de aplicação tenha um segredo de cliente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar o token de atualização

Como verificar um token Web JSON