本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
OAuth 2.0、OpenID Connect 和 SAML 2.0 联合身份验证端点参考
当您向用户池添加域时,Amazon Cognito 会激活本节中的端点。联合身份验证端点不是用户交互式的。他们为您的应用程序扮演服务角色,以便与第三方 OAuth 2.0、OIDC 和 SAML 2.0 身份提供商()进行通信。IdPs
本指南中的主题描述几个常用的 OAuth 2.0 和 OIDC 端点。您向用户池分配域时,Amazon Cognito 创建以下端点。
用户池联合身份验证端点 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 端点 URL | 描述 | 如何访问此端点 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://您的用户池域/oauth2/authorize |
将用户重定向到托管 UI 或使用其 IdP 登录。 | 在客户浏览器中调用以开始用户身份验证。请参阅 对端点授权。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://您的用户池域/oauth2/token |
根据授权码或客户端凭证请求返回令牌。 | 由应用程序请求检索令牌。请参阅 令牌端点。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://您的用户池域/oauth2/userInfo |
根据访问令牌中的 OAuth 2.0 范围和用户身份返回用户属性。 | 应用程序要求检索用户个人资料。请参阅 UserInfo 端点。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://您的用户池域/oauth2/revoke |
撤消刷新令牌和关联的访问令牌。 | 应用程序要求撤销令牌。请参阅 撤消端点。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/openid-configuration |
用户池的 OIDC 架构的目录。 | 由应用程序请求查找用户池发行者元数据。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://cognito-idp.Region.amazonaws.com/your user pool ID/.well-known/jwks.json |
您可以用来验证 Amazon Cognito 令牌的公有密钥。 | 由应用程序请求验证 JWT。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://您的用户池域/oauth2/idpresponse |
社交身份提供者必须使用授权码将用户重新导向到此端点。Amazon Cognito 在验证您的联合用户时将代码兑换为令牌。 | 已从 OIDC IdP 登录重定向为 IdP 客户端回调 URL。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://Your user pool domain/saml2/idpresponse |
用于与 SAML 2.0 身份提供商集成的断言消费者响应 (ACS) 网址。 | 从 SAML 2.0 IdP 重定向为 ACS 网址,或 IdP 发起的登录的起点。1 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
https://你的用户池域 /saml2/logout |
要对 SAML 2.0 联合用户进行身份验证,您的身份提供者必须使用 SAML 响应将用户重新导向到此端点。 | 从 SAML 2.0 IdP 重定向为单点注销 (SLO) 网址。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1 有关 IDP 发起的 SAML 登录的更多信息,请参阅。使用 IDP 发起的 SAML SSO
有关 OpenID Connect 和 OAuth 标准的更多信息,请参阅 OpenID Connect 1.0