本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
OAuth 2.0 账户关联要求
每个 C2C 连接器都依赖 OAuth 2.0 授权服务器对最终用户进行身份验证。通过此服务器,最终用户将其第三方账户与客户的设备平台关联起来。账户关联是最终用户使用 C2C 连接器支持的设备所需的第一步。有关账户关联和 OAuth 2.0 中不同角色的更多信息,请参阅账户关联角色。
虽然您的 C2C 连接器不需要实现特定的业务逻辑来支持授权流程,但与 C2C 连接器关联的 OAuth2 .0 授权服务器必须满足。OAuth 配置要求
注意
AWS IoT Device Management 仅适用于的托管集成支持带有授权代码流的 OAuth 2.0。有关更多信息,请参阅 RFC 6749
账户关联是一个允许托管集成和连接器使用访问令牌访问最终用户设备的过程。此令牌为最终用户许可的 AWS IoT Device Management 提供托管集成,以便连接器可以通过 API 调用与最终用户的数据进行交互。有关更多信息,请参阅 账户关联工作流程。
我们建议您不要在任何日志中记录这些敏感令牌。但是,如果它们存储在日志中,我们建议您使用 CloudWatch 日志数据保护策略来屏蔽日志中的令牌。有关更多信息,请参阅 Help protect sensitive log data with masking。
的托管集成 AWS IoT Device Management 不会直接获得访问令牌;而是通过授权码授权类型获得访问令牌。首先,AWS IoT Device Management 的托管集成必须获得授权码。然后,它将代码交换为访问令牌和刷新令牌。刷新令牌用于在旧访问令牌过期时请求新的访问令牌。如果访问令牌和刷新令牌都已过期,则必须再次执行账户关联流程。你可以通过 StartAccountAssociationRefresh API 操作来做到这一点。
重要
发放的访问令牌的作用域必须按用户划分,但不能按 OAuth 客户机划分。该令牌不应提供对客户端下所有用户的所有设备的访问权限。
授权服务器必须执行以下操作之一:
-
发行包含可提取的最终用户(资源所有者)ID 的访问令牌,例如 JWT-Token。
-
返回每个已颁发的访问令牌的最终用户 ID。
OAuth 配置要求
下表说明了 OAuth 授权服务器中用于托管集成 AWS IoT Device Management 以执行账户关联所需的参数:
| 字段 | 必填 | 评论 |
|
|
是 |
您的应用程序的公共标识符。它用于启动身份验证流程,并且可以公开共享。 |
|
|
是 |
用于通过授权服务器对应用程序进行身份验证的密钥,尤其是在使用授权码交换访问令牌时。应将其保密,不得公开共享。 |
|
|
是 |
此授权配置支持的授权类型。当前,“OAuth 2.0” 是唯一支持的值。 |
|
|
是 |
第三方云提供商的授权 URL。 |
|
|
是 |
第三方云提供商的令牌 URL。 |
|
|
是 |
“HTTP_BASIC” 或 “REQUEST_BODY_CREDENTIALS” 的身份验证方案。HTTP_BASIC 表示客户端凭证包含在授权标头中,而阶梯表示它们包含在请求正文中。 |
必须对您使用的 OAuth 服务器进行配置,使访问令牌字符串值必须使用 UTF-8 字符集进行 Base64 编码。
