用户池端点和托管 UI 参考 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

用户池端点和托管 UI 参考

Amazon Cognito 有两种用户池身份验证模型:使用用户池 API 和使用 OAuth 2.0 授权服务器。当您想在应用程序后端使用 Amazon SDK 检索 OpenID Connect(OIDC)令牌时,请使用 API。当您要将用户池实施为 OIDC 提供者时,请使用授权服务器。授权服务器添加了联合身份验证登录具有访问令牌范围的 API 和 M2M 授权以及托管 UI 等特征。您可以单独使用 API 模型和 OIDC 模型,也可以将它们一起使用,并可以在用户池级别或应用程序客户端级别进行配置。本节提供了实施 OIDC 模型的参考。有关这两种身份验证模型的更多信息,请参阅使用用户池 API 和授权服务器

当您向用户池分配域时,Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管 UI,您的用户可以在其中注册、登录(登录端点)和注销(注销端点)。有关这些资源的标签的更多信息,请参阅 管理托管 UI 和授权服务器

这些页面还包括允许您的用户池与第三方 SAML、OpenID Connect(OIDC)和 OAuth 2.0 身份提供者(IdP)进行通信的公有 Web 资源。要使用联合身份提供者登录用户,您的用户必须向交互式托管 UI 登录端点或 OIDC 对端点授权发起请求。授权端点将您的用户重定向到托管 UI 或 IdP 登录页面。

您的应用程序还可以使用 Amazon Cognito 用户池 API 登录本地用户。本地用户仅存在于您的用户池目录中,无需通过外部 IdP 进行联合身份验证。

除了托管 UI 和联合身份验证端点之外,Amazon Cognito 还集成了适用于 Android、iOS、JavaScript 等的 SDK。这些 SDK 提供了使用 Amazon Cognito API 服务端点执行用户池 API 操作的工具。有关服务端点的更多信息,请参阅 Amazon Cognito 身份端点和限额

警告

请不要固定 Amazon Cognito 域的终端实体或中间传输层安全性协议(TLS)凭证。Amazon 管理所有用户池端点和前缀域的所有凭证。支持 Amazon Cognito 证书的信任链中的证书颁发机构(CA)会动态轮换和续订。当您将应用程序固定到中间证书或叶证书时,如果 Amazon 轮换证书,应用程序可能会失败而不发出通知。

而应将应用程序固定到所有可用的 Amazon 根证书。有关更多信息,请参阅《Amazon Certificate Manager 用户指南》证书固定中的最佳做法和建议。