As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre os tokens web JSON (JWTs) do grupo de usuários
Os tokens são artefatos de autenticação que as aplicações podem usar como prova de autenticação OIDC e para solicitar acesso aos recursos. As reivindicações em tokens são informações sobre o usuário. O token de ID contém declarações sobre a identidade dele, como nome de usuário, nome de família e endereço de e-mail. O token de acesso contém reivindicações como o scope que o usuário autenticado pode usar para acessar APIs de terceiro, operações de API de autoatendimento de usuários do Amazon Cognito e o endpoint userinfo. Tanto o token de acesso quanto o de ID incluem uma declaração cognito:groups que contém a associação do usuário ao grupo de usuários. Para obter mais informações sobre grupos de usuários, consulte Como adicionar grupos a um grupo de usuários.
O Amazon Cognito também tem tokens de atualização que você pode usar para obter novos tokens ou revogar tokens existentes. Refresh a token (Atualizar um token) para recuperar novos tokens de ID e de acesso. Revogar um token para revogar o acesso de usuário permitido por tokens de atualização.
O Amazon Cognito emite tokens como strings codificadas em base64urlbase64url para JSON em texto sem formatação. Os tokens de atualização do Amazon Cognito são criptografados, opacos para usuários e administradores de grupos de usuários e só podem ser lidos pelo seu grupo de usuários.
Autenticação com tokens
Quando um usuário faz login na sua aplicação, o Amazon Cognito verifica as informações de login. Se o login for bem-sucedido, o Amazon Cognito criará uma sessão e retornará um token de ID, um de acesso e um de atualização para o usuário autenticado. É possível usar os tokens para conceder aos usuários acesso aos recursos e APIs de downstream, como o Amazon API Gateway. Outra opção é trocá-los por credenciais da AWS temporárias para acessar outros Serviços da AWS.
Armazenar tokens
Sua aplicação deve ser capaz de armazenar tokens de tamanhos variados. O tamanho do token pode mudar por vários motivos, entre eles, declarações adicionais, alterações nos algoritmos de codificação e alterações nos algoritmos de criptografia. Quando você habilita a revogação de token no grupo de usuários, o Amazon Cognito adiciona declarações de token web JSON, o que aumenta o tamanho deles. As novas declarações origin_jti e jti são adicionadas aos tokens de acesso e ID. Para obter mais informações sobre revogação de tokens, consulte Como revogar tokens.
Importante
Como prática recomendada, proteja todos os tokens em trânsito e no armazenamento no contexto da aplicação. Os tokens podem conter informações de identificação pessoal sobre seus usuários e informações sobre o modelo de segurança que você usa para o grupo de usuários.
Personalização de tokens
É possível personalizar os tokens de acesso e ID transmitidos pelo Amazon Cognito à aplicação. Em um Acionador do Lambda antes da geração do token, é possível adicionar, modificar e suprimir declarações de token. O gatilho de pré-geração de tokens é uma função do Lambda para a qual o Amazon Cognito envia um conjunto padrão de declarações. As declarações incluem escopos do OAuth 2.0, associação a grupos de usuários, atributos de usuário e outros. A função pode então aproveitar a oportunidade para fazer alterações em runtime e retornar declarações de token atualizadas para o Amazon Cognito.
Custos adicionais se aplicam à personalização do token de acesso com eventos da versão 2. Para mais informações, consulte Preço do Amazon Cognito