本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
用户池端点和托管登录参考
Amazon Cognito 有两种用户池身份验证模式:使用用户池 API 和使用 OAuth 2.0 授权服务器。当你想在应用程序后端使用 Amazon 软件开发工具包检索 OpenID Connect (OIDC) 令牌时,请使用 API。当您要将用户池实施为 OIDC 提供者时,请使用授权服务器。授权服务器添加了诸如联合登录、具有访问令牌范围的 API 和 M2M 授权以及托管登录等功能。您可以单独使用 API 模型和 OIDC 模型,也可以将它们一起使用,并可以在用户池级别或应用程序客户端级别进行配置。本节提供了实施 OIDC 模型的参考。有关这两种身份验证模型的更多信息,请参阅了解 API、OIDC 和托管登录页面身份验证。
当您向用户池分配域时,Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管登录(您的用户可以在其中注册并登录(登录端点),以及注销(注销端点)。有关这些资源的标签的更多信息,请参阅 用户池托管登录。
这些页面还包括公共网络资源,允许您的用户池与第三方 SAML、OpenID Connect (OIDC OAuth ) 和 2.0 身份提供商 () 进行通信。IdPs要使用联合身份提供商登录用户,您的用户必须向交互式托管登录登录端点或 OID 对端点授权 C 发起请求。Authorize 端点会将您的用户重定向到您的托管登录页面或 IdP 登录页面。
您的应用程序还可以使用 Amazon Cognito 用户池 API 登录本地用户。本地用户仅存在于您的用户池目录中,无需通过外部 IdP 进行联合身份验证。
除了托管登录外,Amazon Cognito 还集成了 SDKs 适用于安卓 JavaScript、iOS 等设备的管理登录。 SDKs 提供了使用亚马逊 Cognito API 服务终端节点执行用户池 API 操作的工具。有关服务端点的更多信息,请参阅 Amazon Cognito 身份端点和限额。
警告
不要锁定 Amazon Cognito 域的终端实体或中间传输层安全 (TLS) 证书。 Amazon 管理所有用户池终端节点和前缀域的所有证书。信任链中支持 Amazon Cognito 证书的证书颁发机构 (CAs) 会动态轮换和续订。当您将应用程序固定到中间证书或叶证书时,您的应用程序在 Amazon 轮换证书时可能会失败,恕不另行通知。
而应将应用程序固定到所有可用的 Amazon 根证书