本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

密码、账户恢复和密码策略

所有登录到用户池的用户（甚至是联合用户）都为其用户配置文件分配了密码。本地用户和关联用户在登录时必须提供密码。联合用户不使用用户池密码，而是使用其身份提供者（IdP）登录。您可以允许用户自行重置密码、以管理员身份重置或更改密码，以及设置密码复杂度和历史策略。

Amazon Cognito 不以明文形式存储用户密码。而是通过用户特定的加密盐来存储每个用户密码的哈希值。因此，您无法从用户池中的用户配置文件检索现有密码。作为一项最佳实践，请不要在任何地方存储明文用户密码。当用户忘记密码时，执行密码重置。

密码重置和恢复

用户忘记了自己的密码。您可能希望他们能够自己重置密码，或者您可能希望由管理员为他们重置密码。Amazon Cognito 用户池有这两种模式的选项。指南的这一部分介绍用户池设置和用于密码重置的 API 操作。

ForgotPassword API 操作和托管登录选项忘记密码？向用户发送验证码，当用户确认收到正确的验证码后，他们可以使用 ConfirmForgotPassword 设置新密码。这是自助式密码恢复模式。

恢复未经验证的用户

您可以向已验证其电子邮件地址或电话号码的用户发送恢复消息。如果他们没有已确认的恢复电子邮件或电话，用户池管理员可以将其电子邮件地址或电话号码标记为已验证。在 Amazon Cognito 控制台中编辑用户的用户属性，然后选中将电话号码标记为已验证或将电子邮件地址标记为已验证旁边的复选框。您还可以将 AdminUpdateUserAttributes 请求中的 email_verified 或 phone_number_verified 设置为 true。对于新用户，ResendConfirmationCode API 操作会向他们的电子邮件地址或电话号码发送新的验证码，然后他们可以完成自助确认和验证。

以管理员身份重置密码

AdminSetUserPassword 和 AdminResetUserPassword API 操作是管理员发起的密码重置方法。AdminSetUserPassword 设置临时或永久密码，AdminResetUserPassword 按照与 ForgotPassword 相同的方式向用户发送密码重置验证码。

配置密码重置和恢复

Amazon Cognito 会根据您在控制台中创建用户池时选择的必需属性和登录选项自动选择您的账户恢复选项。您可以修改这些默认设置。

用户首选 MFA 方法会影响他们可用于恢复密码的方法。首选 MFA 方式为电子邮件的用户无法通过电子邮件接收密码重置代码。首选 MFA 方式为短信的用户无法通过短信接收密码重置代码。

当用户不符合条件，无法使用首选密码重置方法时，您的密码恢复设置必须提供替代选项。例如，您的恢复机制可能将电子邮件列为第一优先选项，而电子邮件 MFA 可能是您的用户池中的一个选项。在这种情况下，添加短信消息账户恢复作为第二个选项，或者使用管理 API 操作为这些用户重置密码。

对于没有有效恢复方式的用户发起的密码重置请求，Amazon Cognito 会返回 InvalidParameterException 错误响应。

以下过程在用户池中配置自助账户恢复。

Configure self-service password reset (API/SDK)

AccountRecoverySetting 参数是一个用户池参数，可设置用户在 ForgotPassword API 中或当用户在托管登录中选择忘记密码？时可用于恢复其密码的方法。ForgotPassword 会将恢复码发送到已验证的电子邮件或已验证的电话号码。恢复代码的有效期为 1 小时。当您为用户池指定 AccountRecoverySetting 时，Amazon Cognito 会根据您设置的优先级选择代码发送目标。

当您定义 AccountRecoverySetting 并且用户配置了 SMS MFA 时，不能将 SMS 用作账户恢复机制。此设置的优先级已确定，其中 1 为最高优先级。Amazon Cognito 仅向指定方法之一发送验证。以下示例 AccountRecoverySetting 将电子邮件地址设置为账户恢复代码的主要目标，如果用户没有电子邮件地址属性，则回退到短信。

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "verified_email",
         "Priority": 1
      },
      { 
         "Name": "verified_phone_number",
         "Priority": 2
      }
   ]
}

值 admin_only 会关闭自助账户恢复，而是要求用户联系他们的管理员进行密码重置。您不能将 admin_only 与任何其他账户恢复机制一起使用。以下

"AccountRecoverySetting": { 
   "RecoveryMechanisms": [ 
      { 
         "Name": "admin_only",
         "Priority": 1
      }
   ]
}

如果未指定 AccountRecoverySetting，Amazon Cognito 会先将恢复码发送到经过验证的电话号码，如果用户没有电话号码属性，则会发送到经过验证的电子邮件地址。

有关 AccountRecoverySetting 的更多信息，请参阅 CreateUserPool 和 UpdateUserPool。

Configure self-service password reset (console)

从用户池的登录菜单配置账户恢复和密码重置选项。

设置用户账户恢复

1. 登录 Amazon Cognito 控制台。

2. 选择用户池。

3. 从列表中选择一个现有用户池，或创建一个用户池。

4. 选择登录菜单。找到用户账户恢复，然后选择编辑。

5. 要允许用户重置自己的密码，请选择启用自助账户恢复。

6. 为用户池发送给用户的密码恢复代码配置发送方式。在用户账户恢复消息的发送方法下，选择一个可用选项。最佳做法是，选择具有辅助消息发送方法的选项，例如如果电子邮件可用，则使用电子邮件发送，否则使用短信。借助辅助发送方法，Amazon Cognito 在向用户发送代码时，可以要求用户使用与 MFA 不同的媒介来重置密码。

7. 选择保存更改。

忘记密码行为

我们允许用户在 1 小时内进行 5 到 20 次的密码重置代码请求或输入尝试，作为忘记密码和确认忘记密码操作的一部分。确切的值取决于与请求关联的风险参数。请注意，这种行为可能会发生变化。

添加用户池密码要求

作为用户池的最佳安全实践，应该设置强大、复杂的密码。特别是在对互联网开放的应用程序中，弱密码会将用户的凭证暴露给会猜测密码并尝试访问您的数据的系统。密码越复杂，就越难猜出。Amazon Cognito 为注重安全的管理员提供了额外工具（例如威胁防护和 AWS WAF Web ACL），但密码策略仍然是确保用户目录安全的核心因素。

Amazon Cognito 用户池中本地用户的密码不会自动过期。妥善的做法是在外部系统中记录用户密码重置的时间、日期和元数据。通过记录密码使用期限的外部日志，您的应用程序或 Lambda 触发器可以查找用户的密码使用期限，并在给定时间后要求重置。

您可以将用户池配置为要求密码具有最低复杂性，以符合您的安全标准。复杂密码的最小长度为至少八个字符。还必须包括大写字母、数字和特殊字符的组合。

通过基础版或增值版功能计划，您还可以设置密码重用策略。您可以阻止用户将其新密码重置为与其当前密码相同，也不得与最多 23 个以前的其他密码中的任何一个相同，即用户不能将新密码设置为这 24 个密码中的任何一个。

要重置已过期用户账户的访问权限，请执行以下操作之一：