本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
權杖端點
/oauth2/token
發行 JSON Web 令牌的 OAuth 2.0 令牌端點
您的用戶池 OAuth 2.0 授權服務器從令牌端點發布 JSON Web 令牌(JWTs)到以下類型的會話:
-
已完成授權碼授權要求的使用者。成功兌換程式碼會傳回 ID、存取和重新整理權杖。
-
已完成用戶端認證授與的 M achine-to-machine (M2M) 工作階段。使用用戶端秘密成功授權傳回存取權杖。
-
先前已登入並接收重新整理權杖的使用者。刷新令牌身份驗證返回新的 ID 和訪問令牌。
注意
使用授權代碼登錄的用戶在託管 UI 中或通過聯合授予的用戶始終可以從令牌端點刷新其令牌。使用API操作登錄
InitiateAuth
並在用戶池中記住的設備未處於活動狀態時,AdminInitiateAuth
可以使用令牌端點刷新其令牌的用戶。如果記住AuthFlow
的設備處於活動狀態,請使用REFRESH_TOKEN_AUTH
inInitiateAuth
或AdminInitiateAuth
API請求刷新令牌。
當您將網域新增至使用者集區時,權杖端點會變為可公開使用。它接受HTTPPOST請求。為了確保應用程式安全性,請PKCE搭配授權碼登入事件使用。PKCE驗證傳遞授權碼的用戶是誰身份驗證相同的用戶。如需有關的詳細資訊PKCE,請參閱 IETFRFC7636
您可以IDs在以下位置了解有關用戶池應用程序客戶端及其授權類型,客戶端密鑰,授權範圍和客戶端的更多信息使用者集區應用程式用戶端。您可以在範圍、M2M 和資源伺服器API授權以下位置了解有關 M2M 授權,客戶端憑據授予以及訪問令牌範圍授權的更多信息。
要從其訪問令牌中檢索有關用戶的信息,請將其傳遞給您的UserInfo 端點或GetUserAPI請求。
POST/代幣/代幣
/oauth2/token
端點僅支援 HTTPS POST
。您的應用程式會直接對此端點提出請求,而不經由使用者的瀏覽器。
權杖端點支援 client_secret_basic
和 client_secret_post
身分驗證。如需 OpenID Connect 規格的詳細資訊,請參閱用戶端驗證
標頭中的請求參數
Authorization
-
如果客戶端發出了一個秘密,客戶端可以通過它
client_id
和client_secret
在授權頭作為client_secret_basic
HTTP授權。您也可以在請求的內文中加入client_id
和client_secret
做為client_secret_post
授權。授權標頭字串是基本
Base64Encode(client_id:client_secret)
。下列範例是djc98u3jiedmi283eu928
具有用戶端密碼之應用程式用戶端的授權標頭abcdef01234567890
,使用 Base64 編碼的字串版本:djc98u3jiedmi283eu928:abcdef01234567890
Authorization: Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
Content-Type
-
將此參數的值設為
'application/x-www-form-urlencoded'
。
內文中的請求參數
grant_type
-
(必要) 您要求的OIDC授權類型。
必須是
authorization_code
、refresh_token
或client_credentials
。在以下情況下,您可以從令牌端點請求自定義範圍的訪問令牌:-
您在應用程序客戶端配置中啟用了請求的範圍。
-
您已將應用程式用戶端設定為用戶端密碼。
-
您在應用程序客戶端中啟用客戶端憑據授予。
-
client_id
-
(可選)用戶池中應用程序客戶端的 ID。指定驗證用戶的相同應用程序客戶端。
如果用戶端為公用且沒有密碼,或
client_secret
在client_secret_post
授權中使用,您必須提供此參數。 client_secret
-
(可選)驗證用戶的應用程序客戶端的客戶端密鑰。如果您的應用程式用戶端具有用戶端秘密,且您沒有傳送
Authorization
標頭,則需要此項。 scope
-
(可選)可以是與應用程序客戶端關聯的任何自定義範圍的組合。您請求的任何範圍都必須為應用程序客戶端激活。如果沒有,Amazon Cognito 將忽略它。如果客戶端未請求任何範圍,則身份驗證服務器將分配您在應用程序客戶端配置中授權的所有自定義範圍。
只有在
grant_type
為client_credentials
時使用。 redirect_uri
-
(可選)必須與用
redirect_uri
於進authorization_code
入的內容相同/oauth2/authorize
。如果是,則必須提供
grant_type
此參數authorization_code
。 refresh_token
-
(可選)要為用戶的會話生成新的訪問和 ID 令牌,
/oauth2/token
請將請求中的refresh_token
參數值設置為先前從同一應用程序客戶端發布的刷新令牌。 code
-
(可選)授權碼授予授權碼。如果您的授權請求包含的,則必須提供此參
grant_type
數authorization_code
。 code_verifier
-
(選擇性) 您用來計算授權碼授與要求
code_challenge
中的任意值PKCE。
具有正面回應的範例要求
將授權碼交換成權杖
示例-POST 請求
POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token& Content-Type='application/x-www-form-urlencoded'& Authorization=Basic
ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
grant_type=authorization_code& client_id=1example23456789
& code=AUTHORIZATION_CODE
& redirect_uri=com.myclientapp://myclient/redirect
示例-響應
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token":"eyJra1example",
"id_token":"eyJra2example",
"refresh_token":"eyJj3example",
"token_type":"Bearer",
"expires_in":3600
}
注意
只有當 refresh_token
是 grant_type
時,權杖端點才會傳回 authorization_code
。
將用戶端憑證交換為存取權杖:授權標頭中的用戶端機密
示例-POST 請求
POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token > Content-Type='application/x-www-form-urlencoded'& Authorization=Basic
ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
grant_type=client_credentials& client_id=1example23456789
& scope=resourceServerIdentifier1
/scope1
resourceServerIdentifier2
/scope2
示例-響應
HTTP/1.1 200 OK Content-Type: application/json { "access_token":"eyJra1example", "token_type":"Bearer", "expires_in":3600 }
將用戶端憑證交換為存取權杖:請求主體中的用戶端機密
示例-POST 請求
POST /oauth2/token HTTP/1.1 Content-Type: application/x-www-form-urlencoded X-Amz-Target: AWSCognitoIdentityProviderService.Client credentials request User-Agent: USER_AGENT Accept: / Accept-Encoding: gzip, deflate, br Content-Length: 177 Referer: http://auth.example.com/oauth2/token Host: auth.example.com Connection: keep-alive grant_type=client_credentials&client_id=
1example23456789
&scope=my_resource_server_identifier
%2Fmy_custom_scope
&client_secret=9example87654321
示例-響應
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Date: Tue, 05 Dec 2023 16:11:11 GMT x-amz-cognito-request-id: 829f4fe2-a1ee-476e-b834-5cd85c03373b { "access_token": "eyJra12345EXAMPLE", "expires_in": 3600, "token_type": "Bearer" }
與PKCE令牌交換授權代碼授予
示例-POST 請求
POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token Content-Type='application/x-www-form-urlencoded'& Authorization=Basic
ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
grant_type=authorization_code& client_id=1example23456789
& code=AUTHORIZATION_CODE
& code_verifier=CODE_VERIFIER
& redirect_uri=com.myclientapp://myclient/redirect
示例-響應
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token":"eyJra1example",
"id_token":"eyJra2example",
"refresh_token":"eyJj3example",
"token_type":"Bearer",
"expires_in":3600
}
注意
只有當 refresh_token
是 grant_type
時,權杖端點才會傳回 authorization_code
。
將重新整理權杖交換成權杖
示例-POST 請求
POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token > Content-Type='application/x-www-form-urlencoded'& Authorization=Basic
ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
grant_type=refresh_token& client_id=1example23456789
& refresh_token=eyJj3example
示例-響應
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token":"eyJra1example",
"id_token":"eyJra2example",
"token_type":"Bearer",
"expires_in":3600
}
注意
只有當 refresh_token
是 grant_type
時,權杖端點才會傳回 authorization_code
。
負向回應的範例
示例-錯誤響應
HTTP/1.1 400 Bad Request
Content-Type: application/json;charset=UTF-8
{
"error":"invalid_request|invalid_client|invalid_grant|unauthorized_client|unsupported_grant_type"
}
invalid_request
-
請求遺漏必要參數、包含不支援的參數值 (非
unsupported_grant_type
),或是格式不正確。例如,grant_type
是refresh_token
,但沒有包含refresh_token
。 invalid_client
-
用戶端身分驗證失敗。例如,用戶端在授權標頭中包含
client_id
和client_secret
,但並沒有使用該client_id
和client_secret
的用戶端存在。 invalid_grant
-
重新整理權杖已撤銷。
授權碼已被使用或不存在。
應用程式用戶端不具有對所請求範圍中所有屬性的讀取存取權。例如,您的應用程式請求
email
範圍,且您的應用程式用戶端可以讀取email
屬性,但不能讀取email_verified
。 unauthorized_client
-
用戶端無權進行授權碼授予流程或重新整理權杖。
unsupported_grant_type
-
如果
grant_type
不是authorization_code
、refresh_token
或client_credentials
,就會傳回此值。