访问令牌自定义 - Amazon Cognito

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问令牌自定义

注意

本页介绍了 Amazon Cognito 用户池高级安全功能在令牌生成前 Lambda 触发器中添加的其他功能。有关代币生成前触发器的完整概述,请参阅令牌生成前 Lambda 触发器

用户池访问令牌向应用程序授予权限:访问API、从userInfo 端点检索用户属性或为外部系统建立组成员资格。在高级场景中,您可能需要将应用程序在运行时确定的其他临时参数添加到用户池目录中的默认访问令牌数据中。例如,您可能需要使用 Amazon Verif API ied 权限验证用户的权限,并相应地调整访问令牌中的范围。

高级安全功能增加了令牌生成前触发器的现有功能。如果没有高级安全功能,则可以使用额外的声明、角色和群组成员资格来自定义 ID 令牌。借助高级安全性,您还可以使用声明、角色、群组成员资格和OAuth范围自定义访问令牌。 machine-to-machine (M2M) 客户端凭证授予不支持访问令牌自定义。

自定义访问令牌
  1. 激活高级安全功能。

  2. 为您的触发器创建一个 Lambda 函数。要使用我们的示例函数,请将其配置为 Node.js

  3. 使用我们的示例代码填充您的 Lambda 函数,或者自己编写。您的函数必须处理来自 Amazon Cognito 的请求对象,并返回您想要包含的更改。

  4. 将您的新函数分配为第 2 版 token 生成前的触发器。

有关更多信息,请参阅 自定义访问令牌