本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置用户池域
配置域是设置用户池的可选部分。用户池域托管用户身份验证、与第三方提供商的联合以及 OpenID Connect (OIDC) 流程的功能。它具有托管用户界面,这是用于注册、登录和密码恢复等密钥操作的预建界面。它还托管标准的 OpenID Connect (OIDC) 端点,例如授权userInfo、和令牌,用于 machine-to-machine (M2M) 授权以及其他身份验证和授权流程,以及 OAuth 2.0 身份验证OIDC和授权流程。
用户在与您的用户池关联的域中登录托管用户界面。您可以通过两种方式配置此域:您可以使用默认 Amazon Cognito 托管域,也可以配置自己拥有的自定义域。
自定义域名选项在灵活性、安全性和控制性方面有更多选项。例如,一个熟悉的、由组织拥有的域可以鼓励用户信任并使登录过程更加直观。但是,自定义域方法需要一些额外的开销,例如管理SSL证书和DNS配置。
终端节点URLs和令牌签名密钥/.well-known/jwks.json
的OIDC发现端点未托管在您的网域上。/.well-known/openid-configuration
有关更多信息,请参阅 身份提供商和依赖方端点。
了解如何为您的 Amazon Cognito 用户池配置和管理域是将身份验证集成到应用程序中的重要一步。使用用户池API和登录 AWS SDK可以作为配置域的替代方法。API基于模型直接在API响应中提供令牌,但是对于使用用户池扩展功能作为 OIDC IdP 的实现,您必须配置域。有关用户池中可用的身份验证模型的更多信息,请参阅使用用户池API和授权服务器。
注意
您不能在域前缀中使用文本 aws
、amazon
或 cognito
。