AUTHORIZATION 端点
/oauth2/authorize 终端节点让用户登录。
GET /oauth2/authorize
/oauth2/authorize 终端节点只支持 HTTPS GET。用户池客户端通常通过浏览器发出此请求。Web 浏览器包括 Chrome 或 Firefox。Android 浏览器包括自定义 Chrome 选项卡。iOS 浏览器包括 Safari View 控件。
授权服务器在访问授权终端节点时需要 HTTPS 而不是 HTTP 作为协议。有关规范的更多信息,请参阅授权端点
请求参数
- response_type
-
响应类型。必须为
code或token。指示客户端需要用户的授权代码(授权代码授予流)还是直接为用户发布令牌(隐式流)。必填项。
- client_id
-
客户端 ID。
必须是您已在用户池中注册的客户端,并且符合进行联合身份验证的条件。
必填项。
- redirect_uri
-
在 Amazon Cognito 授权用户之后,身份验证服务器将浏览器重定向到的 URL。
重定向 URI 必须具有以下属性:
-
必须是绝对 URI。
-
您必须已经将 URI 预注册到客户端。
-
不能包含片段组件。
请参阅 OAuth 2.0 – 重定向终端节点
。 Amazon Cognito 要求使用
HTTPS而不是HTTP,但http://localhost(仅用于测试目的)除外。Amazon Cognito 还支持应用程序回调 URL,如
myapp://example。必填项。
-
- state
-
客户端添加到初始请求的不透明值。授权服务器在重定向到客户端时包括此值。
客户端必须使用此值来防止 CSRF
攻击。 可选但不推荐。
- identity_provider
-
将此参数添加到 URL 以绕过托管 UI,直接向特定提供商进行身份验证。
-
对于社交登录,有效值为 Facebook、Google、LoginWithAmazon 和 SignInWithApple。
-
对于 Amazon Cognito 用户池,值为 COGNITO。
-
对于其他身份提供商,该值是您在用户池中分配给 IdP 的名称。
可选。
-
- idp_identifier
-
将此参数添加到 URL 以绕过托管 UI,直接向特定提供商进行身份验证。此参数映射到您在用户池中设置的备用提供商名称,并且不公开提供商名称。
可选。
- scope
-
可以是任何系统预留范围或与客户端关联的自定义范围的组合。范围必须以空格分隔。系统预留范围为
openid、email、phone、profile和aws.cognito.signin.user.admin。使用的任意范围必须与客户端关联,否则将在运行时忽略。如果客户端不请求任何范围,则身份验证服务器使用与客户端关联的所有范围。
如果请求
openid范围,则只返回 ID 令牌。如果请求aws.cognito.signin.user.admin范围,则访问令牌只能用于 Amazon Cognito 用户池。如果同时请求了phone范围,则只能请求email、profile和openid范围。这些范围控制进入 ID 令牌中的声明。可选。
- code_challenge_method
-
用于生成质询的方法。PKCE RFC
定义两个方法:S256 和 plain;但是,Amazon Cognito 身份验证服务器仅支持 S256。 可选。
- code_challenge
-
从
code_verifier生成的质询。仅在指定
code_challenge_method时必需。 - 随机数
-
您可以添加到请求中的随机值。您提供的 nonce 值包含在 Amazon Cognito 发出的 ID 令牌中。您可以使用
nonce值防范重播攻击。
具有正向响应的示例请求
授予授权代码
示例请求
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=code& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=openid+profile+aws.cognito.signin.user.admin
示例响应
Amazon Cognito 身份验证服务器使用授权代码和状态重新导向回您的应用程序。代码和状态必须在查询字符串参数中返回,而不是在片段中。查询字符串是 Web 请求的一部分,显示在“?”字符之后;该字符串可以包含一个或多个使用“&”字符分隔的参数。片段是 Web 请求中显示在“#”字符后的部分,用于指定文档的子部分。
响应返回有效期为 5 分钟的一次性使用代码。
HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri?code=AUTHORIZATION_CODE&state=STATE
具有 PKCE 的授权代码授予
示例请求
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=code& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=aws.cognito.signin.user.admin& code_challenge_method=S256& code_challenge=CODE_CHALLENGE
示例响应
身份验证服务器使用授权代码和状态重定向回您的应用程序。代码和状态必须在查询字符串参数中返回,而不是在片段中。
HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri?code=AUTHORIZATION_CODE&state=STATE
不带 openid 范围的令牌授予
示例请求
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=token& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=aws.cognito.signin.user.admin
示例响应
Amazon Cognito 授权服务器使用访问令牌重新导向回您的应用程序。由于未请求 openid 范围,Amazon Cognito 不会返回 ID 令牌。此外,Amazon Cognito 不会在此流程中返回刷新令牌。Amazon Cognito 在片段中返回访问令牌和状态,而不是在查询字符串中。
HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri#access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE
具有 openid 范围的令牌授予
示例请求
GET https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize? response_type=token& client_id=ad398u21ijw3s9w3939& redirect_uri=https://YOUR_APP/redirect_uri& state=STATE& scope=aws.cognito.signin.user.admin+openid+profile
示例响应
授权服务器重定向回您的应用程序,带有访问令牌和 ID 令牌 (因为包括了 openid 范围)。
HTTP/1.1 302 Found
Location: https://YOUR_APP/redirect_uri#id_token=ID_TOKEN&access_token=ACCESS_TOKEN&token_type=bearer&expires_in=3600&state=STATE
负向响应的示例
以下是负向响应的示例:
-
如果
client_id和redirect_uri是有效的,但请求参数有其他问题,身份验证服务器将错误重定向到客户端的redirect_uri。问题的例子可能是答复不包括response_type;或者响应提供了code_challenge但未提供code_challenge_method;或者code_challenge_method不是“S256”。HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request -
如果客户端在
response_type中请求“code”或“token”,但没有这些请求的权限,则 Amazon Cognito 授权服务器将unauthorized_client返回到客户端的redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=unauthorized_client -
如果客户端请求范围未知、格式错误或者无效,则 Amazon Cognito 授权服务器会将
invalid_scope返回到客户端的redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_scope -
如果服务器中有意外的错误,则授权服务器会将
server_error返回到客户端的redirect_uri。优于 HTTP 500 错误不会发送到客户端,因为不在浏览器中向用户显示错误。应生成以下错误:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=server_error -
当 Amazon Cognito 通过联合第三方身份提供商进行身份验证时,Amazon Cognito 可能会遇到以下连接问题:
-
如果从身份提供商处请求令牌时连接超时,身份验证服务器会将该错误重定向到客户端的
redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Timeout+occurred+in+calling+IdP+token+endpoint -
如果在调用 jwks 端点进行
id_token验证时连接超时,身份验证服务器会将错误重新导向到客户端的redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=error_description=Timeout+in+calling+jwks+uri
-
-
通过联合第三方身份提供商进行身份验证时,提供商可能会因配置错误或其他原因返回错误响应,如下所示:
-
如果从其他提供商处收到错误响应,身份验证服务器会将该错误重定向到客户端的
redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=[IdP name]+Error+-+[status code]+error getting token -
如果从 Google 收到错误响应,身份验证服务器会将错误重新导向到客户端的
redirect_uri,如下所示:HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Google+Error+-+[status code]+[Google provided error code]
-
-
当 Amazon Cognito 在与外部身份提供商建立连接时遇到通信协议异常,身份验证服务器会将该错误重定向到客户端的
redirect_uri,并显示以下错误消息:-
HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Connection+reset -
HTTP 1.1 302 Found Location: https://client_redirect_uri?error=invalid_request&error_description=Read+timed+out
-