權杖端點 - Amazon Cognito

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

權杖端點

/oauth2/token發行 JSON Web 令牌的 OAuth 2.0 令牌端點(JWTs)。

您的用戶池 OAuth 2.0 授權服務器從令牌端點發布 JSON Web 令牌(JWTs)到以下類型的會話:

  1. 已完成授權碼授權要求的使用者。成功兌換程式碼會傳回 ID、存取和重新整理權杖。

  2. 已完成用戶端認證授與的 M achine-to-machine (M2M) 工作階段。使用用戶端秘密成功授權傳回存取權杖。

  3. 先前已登入並接收重新整理權杖的使用者。刷新令牌身份驗證返回新的 ID 和訪問令牌。

    注意

    使用授權代碼登錄的用戶在託管 UI 中或通過聯合授予的用戶始終可以從令牌端點刷新其令牌。使用API操作登錄InitiateAuth並在用戶池中記住的設備處於活動狀態時,AdminInitiateAuth可以使用令牌端點刷新其令牌的用戶。如果記住AuthFlow的設備處於活動狀態,請使用 REFRESH_TOKEN_AUTH in InitiateAuthAdminInitiateAuthAPI請求刷新令牌。

當您將網域新增至使用者集區時,權杖端點會變為可公開使用。它接受HTTPPOST請求。為了確保應用程式安全性,請PKCE搭配授權碼登入事件使用。PKCE驗證傳遞授權碼的用戶是誰身份驗證相同的用戶。如需有關的詳細資訊PKCE,請參閱 IETFRFC7636

您可以IDs在以下位置了解有關用戶池應用程序客戶端及其授權類型,客戶端密鑰,授權範圍和客戶端的更多信息使用者集區應用程式用戶端。您可以在範圍、M2M 和資源伺服器API授權以下位置了解有關 M2M 授權,客戶端憑據授予以及訪問令牌範圍授權的更多信息。

要從其訪問令牌中檢索有關用戶的信息,請將其傳遞給您的UserInfo 端點GetUserAPI請求。

POST/代幣/代幣

/oauth2/token 端點僅支援 HTTPS POST。您的應用程式會直接對此端點提出請求,而不經由使用者的瀏覽器。

權杖端點支援 client_secret_basicclient_secret_post 身分驗證。如需 OpenID Connect 規格的詳細資訊,請參閱用戶端驗證。如需 OpenID Connect 規格中權杖端點的詳細資訊,請參閱權杖端點

標頭中的請求參數

Authorization

如果客戶端發出了一個秘密,客戶端可以通過它client_idclient_secret在授權頭作為client_secret_basicHTTP授權。您也可以在請求的內文中加入 client_idclient_secret 做為 client_secret_post 授權。

授權標頭字串是基本 Base64Encode(client_id:client_secret)。下列範例是djc98u3jiedmi283eu928具有用戶端密碼之應用程式用戶端的授權標頭abcdef01234567890,使用 Base64 編碼的字串版本:djc98u3jiedmi283eu928:abcdef01234567890

Authorization: Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
Content-Type

將此參數的值設為 'application/x-www-form-urlencoded'

內文中的請求參數

grant_type

(必要) 您要求的OIDC授權類型。

必須是 authorization_coderefresh_tokenclient_credentials。在以下情況下,您可以從令牌端點請求自定義範圍的訪問令牌:

  • 您在應用程序客戶端配置中啟用了請求的範圍。

  • 您已將應用程式用戶端設定為用戶端密碼。

  • 您在應用程序客戶端中啟用客戶端憑據授予。

client_id

(可選)用戶池中應用程序客戶端的 ID。指定驗證用戶的相同應用程序客戶端。

如果用戶端為公用且沒有密碼,或client_secretclient_secret_post授權中使用,您必須提供此參數。

client_secret

(可選)驗證用戶的應用程序客戶端的客戶端密鑰。如果您的應用程式用戶端具有用戶端秘密,且您沒有傳送 Authorization 標頭,則需要此項。

scope

(可選)可以是與應用程序客戶端關聯的任何自定義範圍的組合。您請求的任何範圍都必須為應用程序客戶端激活。如果沒有,Amazon Cognito 將忽略它。如果客戶端未請求任何範圍,則身份驗證服務器將分配您在應用程序客戶端配置中授權的所有自定義範圍。

只有在 grant_typeclient_credentials 時使用。

redirect_uri

(可選)必須與用redirect_uri於進authorization_code入的內容相同/oauth2/authorize

如果是,則必須提供grant_type此參數authorization_code

refresh_token

(可選)要為用戶的會話生成新的訪問和 ID 令牌,/oauth2/token請將請求中的refresh_token參數值設置為先前從同一應用程序客戶端發布的刷新令牌。

code

(可選)授權碼授予授權碼。如果您的授權請求包含的,則必須提供此參grant_typeauthorization_code

code_verifier

(選擇性) 您用來計算授權碼授與要求code_challenge中的任意值PKCE。

具有正面回應的範例要求

將授權碼交換成權杖

示例-POST 請求

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token& Content-Type='application/x-www-form-urlencoded'& Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw grant_type=authorization_code& client_id=1example23456789& code=AUTHORIZATION_CODE& redirect_uri=com.myclientapp://myclient/redirect

示例-響應

HTTP/1.1 200 OK Content-Type: application/json { "access_token":"eyJra1example", "id_token":"eyJra2example", "refresh_token":"eyJj3example", "token_type":"Bearer", "expires_in":3600 }
注意

只有當 refresh_tokengrant_type 時,權杖端點才會傳回 authorization_code

將用戶端憑證交換為存取權杖:授權標頭中的用戶端機密

示例-POST 請求

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token > Content-Type='application/x-www-form-urlencoded'& Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw grant_type=client_credentials& client_id=1example23456789& scope=resourceServerIdentifier1/scope1 resourceServerIdentifier2/scope2

示例-響應

HTTP/1.1 200 OK Content-Type: application/json { "access_token":"eyJra1example", "token_type":"Bearer", "expires_in":3600 }

將用戶端憑證交換為存取權杖:請求主體中的用戶端機密

示例-POST 請求

POST /oauth2/token HTTP/1.1 Content-Type: application/x-www-form-urlencoded X-Amz-Target: AWSCognitoIdentityProviderService.Client credentials request User-Agent: USER_AGENT Accept: / Accept-Encoding: gzip, deflate, br Content-Length: 177 Referer: http://auth.example.com/oauth2/token Host: auth.example.com Connection: keep-alive grant_type=client_credentials&client_id=1example23456789&scope=my_resource_server_identifier%2Fmy_custom_scope&client_secret=9example87654321

示例-響應

HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Date: Tue, 05 Dec 2023 16:11:11 GMT x-amz-cognito-request-id: 829f4fe2-a1ee-476e-b834-5cd85c03373b { "access_token": "eyJra12345EXAMPLE", "expires_in": 3600, "token_type": "Bearer" }

與PKCE令牌交換授權代碼授予

示例-POST 請求

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token Content-Type='application/x-www-form-urlencoded'& Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw grant_type=authorization_code& client_id=1example23456789& code=AUTHORIZATION_CODE& code_verifier=CODE_VERIFIER& redirect_uri=com.myclientapp://myclient/redirect

示例-響應

HTTP/1.1 200 OK Content-Type: application/json { "access_token":"eyJra1example", "id_token":"eyJra2example", "refresh_token":"eyJj3example", "token_type":"Bearer", "expires_in":3600 }
注意

只有當 refresh_tokengrant_type 時,權杖端點才會傳回 authorization_code

將重新整理權杖交換成權杖

示例-POST 請求

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token > Content-Type='application/x-www-form-urlencoded'& Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw grant_type=refresh_token& client_id=1example23456789& refresh_token=eyJj3example

示例-響應

HTTP/1.1 200 OK Content-Type: application/json { "access_token":"eyJra1example", "id_token":"eyJra2example", "token_type":"Bearer", "expires_in":3600 }
注意

只有當 refresh_tokengrant_type 時,權杖端點才會傳回 authorization_code

負向回應的範例

示例-錯誤響應

HTTP/1.1 400 Bad Request Content-Type: application/json;charset=UTF-8 { "error":"invalid_request|invalid_client|invalid_grant|unauthorized_client|unsupported_grant_type" }
invalid_request

請求遺漏必要參數、包含不支援的參數值 (非 unsupported_grant_type),或是格式不正確。例如,grant_typerefresh_token,但沒有包含 refresh_token

invalid_client

用戶端身分驗證失敗。例如,用戶端在授權標頭中包含 client_idclient_secret,但並沒有使用該 client_idclient_secret 的用戶端存在。

invalid_grant

重新整理權杖已撤銷。

授權碼已被使用或不存在。

應用程式用戶端不具有對所請求範圍中所有屬性的讀取存取權。例如,您的應用程式請求 email 範圍,且您的應用程式用戶端可以讀取 email 屬性,但不能讀取 email_verified

unauthorized_client

用戶端無權進行授權碼授予流程或重新整理權杖。

unsupported_grant_type

如果 grant_type 不是 authorization_coderefresh_tokenclient_credentials,就會傳回此值。