Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # OAuth Becas 2.0 El servidor de autorización del grupo de usuarios OAuth 2.0 de Amazon Cognito emite tokens en respuesta a tres tipos de concesiones de [autorización OAuth ](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3) 2.0. Puede configurar los tipos de concesión admitidos para cada cliente de aplicaciones del grupo de usuarios. No puede habilitar concesiones de *credenciales de cliente* en el mismo cliente de la aplicación que cualquiera de las concesiones de códigos *implícitos* o de *autorización*. Las solicitudes de concesiones de códigos implícitos y de autorización comienzan en [Autorizar punto de conexión](authorization-endpoint.md) y las solicitudes de concesiones de credenciales de clientes comienzan en [Punto de conexión de token](token-endpoint.md). **Concesión de código de autorización** En respuesta a la solicitud de autenticación correcta, el servidor de autorización agrega un código de autorización en un parámetro `code` a la URL de devolución de llamada. A continuación, debe intercambiar el código para los tokens de ID, acceso y actualización con [Punto de conexión de token](token-endpoint.md). Para solicitar la concesión de un código de autorización, establezca `response_type` en `code` en la solicitud. Para obtener una solicitud de ejemplo, consulte [Ejemplo: concesión de código de autorización](authorization-endpoint.md#sample-authorization-code-grant). Amazon Cognito admite la [clave de prueba para el intercambio de código (PKCE)](using-pkce-in-authorization-code.md) en las concesiones de códigos de autorización. La concesión del código de autorización es la forma más segura de concesión de autorización. No muestra el contenido del token directamente a los usuarios. En cambio, la aplicación es responsable de recuperar y almacenar de forma segura los tokens de los usuarios. En Amazon Cognito, la concesión de un código de autorización es la única forma de obtener los tres tipos de token (ID, acceso y actualización) del servidor de autorización. También puede obtener los tres tipos de token mediante una autenticación realizada a través de la API de grupos de usuarios de Amazon Cognito, pero la API no emite tokens de acceso con ámbitos que no sean `aws.cognito.signin.user.admin`. **Implicit grant (Concesión implícita)** En respuesta a la solicitud de autenticación correcta, el servidor de autorización agrega un token de acceso a un parámetro `access_token` y un token de identificación en un parámetro `id_token`, a la URL de devolución de llamada. Una concesión implícita no requiere ninguna interacción adicional con [Punto de conexión de token](token-endpoint.md). Para solicitar una concesión implícita, establezca `response_type` en `token` en la solicitud. La concesión implícita solo genera un identificador y un token de acceso. Para obtener una solicitud de ejemplo, consulte [Ejemplo: concesión (implícita) de un token sin ámbito `openid`](authorization-endpoint.md#sample-token-grant-without-openid-scope). La concesión implícita es una concesión de autorización antigua. A diferencia de lo que ocurre con la concesión del código de autorización, los usuarios pueden interceptar e inspeccionar los tokens. Para evitar la entrega de tokens mediante una concesión implícita, configure el cliente de la aplicación para que solo admita la concesión de códigos de autorización. **Client credentials (Credenciales del cliente)** Las credenciales de cliente son una concesión de acceso únicamente mediante autorización. machine-to-machine Para recibir una concesión de credenciales de cliente, omita [Autorizar punto de conexión](authorization-endpoint.md) y genere una solicitud directamente al [Punto de conexión de token](token-endpoint.md). El cliente de la aplicación debe tener un secreto de cliente y admitir solo la concesión de credenciales de cliente. En respuesta a la solicitud correcta, el servidor de autorización devuelve un token de acceso. El token de acceso que se obtiene al conceder las credenciales de un cliente es un mecanismo de autorización que contiene OAuth ámbitos 2.0. Por lo general, el token contiene notificaciones de alcance personalizadas que autorizan a las operaciones HTTP a estar protegidas por el acceso APIs. Para obtener más información, consulte [Ámbitos, M2M y servidores de recursos](cognito-user-pools-define-resource-servers.md). La concesión de credenciales de cliente añade costes a tu factura. AWS Para obtener más información, consulte [Precios de Amazon Cognito](https://aws.amazon.com/cognito/pricing). **Token de actualización** Puede solicitar la concesión de un token de actualización directamente desde el [Punto de conexión de token](token-endpoint.md). Esta adjudicación devuelve tokens de acceso e ID nuevos a cambio de un token de actualización válido. Para obtener más información sobre estas subvenciones y su implementación, consulte Cómo usar la [OAuth versión 2.0 en Amazon Cognito: Obtenga más información sobre las diferentes subvenciones de la OAuth versión 2.0](https://aws.amazon.com/blogs/security/how-to-use-oauth-2-0-in-amazon-cognito-learn-about-the-different-oauth-2-0-grants/) en el blog de *AWS seguridad*.