Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Accesso alle risorse con API Gateway dopo l'accesso Un uso comune dei token dei pool di utenti di Amazon Cognito consiste nell'autorizzare le richieste a un'API REST di [API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html) Gateway. Gli ambiti OAuth 2.0 dei token di accesso possono autorizzare un metodo e un percorso, come for. `HTTP GET` `/app_assets` I token ID possono fungere da autenticazione generica per un'API e possono passare gli attributi utente al servizio di backend. API Gateway offre opzioni di autorizzazione personalizzate aggiuntive come gli autorizzatori [JWT per gli autorizzatori HTTP](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html) e APIs [Lambda che possono applicare una logica](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) più dettagliata. Il diagramma seguente illustra un'applicazione che sta ottenendo l'accesso a un'API REST con gli ambiti 2.0 in un token di accesso. OAuth ![\[Un diagramma di flusso di un'applicazione che si autentica con un pool di utenti Amazon Cognito e autorizza l'accesso alle risorse API con Amazon API Gateway.\]](http://docs.aws.amazon.com/it_it/cognito/latest/developerguide/images/access-services-api-gateway.png) L'app deve raccogliere i token dalle sessioni autenticate e aggiungerli come token portatori a un'intestazione della richiesta. `Authorization` Configura l'autorizzatore che hai configurato per l'API, il percorso e il metodo per valutare il contenuto dei token. API Gateway restituisce i dati solo se la richiesta soddisfa le condizioni impostate per l'autorizzazione. Alcuni modi potenziali in cui l'API API Gateway può approvare l'accesso da un'applicazione sono: + Il token di accesso è valido, non è scaduto e contiene l'ambito OAuth 2.0 corretto. L'[autorizzazione dei pool di utenti di Amazon Cognito per un'API REST](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-integrate-with-cognito.html) è un'implementazione comune con una bassa barriera all'ingresso. Puoi anche valutare il corpo, i parametri della stringa di query e le intestazioni di una richiesta a questo tipo di autorizzazione. + Il token ID è valido e non è scaduto. Quando passi un token ID a un autorizzatore Amazon Cognito, puoi eseguire un'ulteriore convalida del contenuto del token ID sul tuo server delle applicazioni. + Un gruppo, una dichiarazione, un attributo o un ruolo in un token di accesso o ID soddisfa i requisiti definiti in una funzione Lambda. Un [autorizzatore Lambda](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) analizza il token nell'intestazione della richiesta e lo valuta per una decisione di autorizzazione. Puoi creare una logica personalizzata nella tua funzione o effettuare una richiesta API ad [Amazon Verified Permissions](https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/what-is-avp.html). Puoi anche autorizzare le richieste a un'API [AWS AppSync GraphQL](https://docs.aws.amazon.com/appsync/latest/devguide/security-authz.html#amazon-cognito-user-pools-authorization) con token provenienti da un pool di utenti.