本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
托管登录注销端点:/logout
/logout 端点是重定向端点。该端点使用户注销并重定向到您的应用程序客户端的授权注销 URL,或重定向到 /login 端点。/logout终端节点的 GET 请求中的可用参数是针对 Amazon Cognito 托管登录用例量身定制的。
注销端点是一个前端 Web 应用程序,用于与客户进行交互式用户会话。您的应用程序必须在用户的浏览器中调用此端点和其他托管登录端点。
要将您的用户重定向到托管登录以再次登录,请在请求中添加一个redirect_uri参数。带 redirect_uri 参数的 logout 请求还必须包含对登录端点的后续请求的参数,例如 client_id、response_type 和 scope。
要将用户重定向到您选择的页面,请在您的应用程序客户端中 URLs添加允许注销。在用户的对 logout 端点的请求中,添加 logout_uri 和 client_id 参数。如果的值logout_uri是您的应用程序客户端允许的注销 URLs之一,则 Amazon Cognito 会将用户重定向到该网址。
使用 SAML 2.0 的单点注销 (SLO),Amazon IdPs Cognito 首先将您的用户重定向到您在 IdP 配置中定义的 SLO 终端节点。在您的 IdP 将您的用户重定向回到 saml2/logout 之后,Amazon Cognito 会根据您的请求,再向 redirect_uri 或 logout_uri 发送一次重定向响应。有关更多信息,请参阅 通过单点注销来注销 SAML 用户。
注销端点不会让用户退出 OIDC 或社交身份提供商 ()。IdPs要让用户从与外部 IdP 进行的会话中注销,请将他们引导到该提供者的注销页面。
GET /logout
/logout 端点只支持 HTTPS GET。用户池客户端通常通过浏览器发出此请求。浏览器在 Android 中通常是自定义 Chrome 标签页,在 iOS 中是 Safari 视图控件。
请求参数
- client_id
-
您的应用程序的应用程序客户端 ID。要获取应用程序客户端 ID,您必须在用户池中注册该应用程序。有关更多信息,请参阅 特定于应用程序的应用程序客户端设置。
必需。
- logout_uri
-
使用 logout_uri 参数将用户重新导向到自定义注销页面。将其值设置为应用程序客户端注销 URL,您要在用户退出后将其重新导向到此 URL。仅将 logout_uri 与 client_id 参数一起使用。有关更多信息,请参阅 特定于应用程序的应用程序客户端设置。
您也可以使用 logout_uri 参数将用户重定向到另一个应用程序客户端的登录页面。将其他应用程序客户端的登录页面设置为您的应用程序客户端中的允许的回调 URL。在对
/logout端点的请求中,将 logout_uri 参数的值设置为 URL 编码的登录页面。Amazon Cognito 要求在您对
/logout端点的请求中使用 logout_uri 或 redirect_uri 参数。logout_uri 参数会将您的用户重定向到另一个网站。如果您对/logout端点的请求中同时包含 logout_uri 和 redirect_uri 参数,Amazon Cognito 将仅使用 logout_uri 参数,不使用 redirect_uri 参数。 nonce-
(可选)您可以添加到请求中的随机值。您提供的 nonce 值包含在 Amazon Cognito 发出的 ID 令牌中。为了防范重播攻击,您的应用程序可以检查 ID 令牌中的
nonce声明并将其与您生成的声明进行比较。有关nonce声明的更多信息,请参阅《OpenID Connect 标准》中的 ID token validation(ID 令牌验证)。 - redirect_uri
-
使用 redirect_uri 将用户重新导向到登录页以进行身份验证。将其值设置为应用程序客户端允许的回调 URL,您要在用户再次登录后将其重新导向到此 URL。添加您要传递给
/login端点的 client_id、scope、state 和 response_type 参数。Amazon Cognito 要求在您对
/logout端点的请求中使用 logout_uri 或 redirect_uri 参数。要将用户重定向到/login端点以重新验证身份并将令牌传递给您的应用程序,请添加 redirect_uri 参数。如果您向/logout端点发出的请求中同时包含 logout_uri 和 redirect_uri 参数,则 Amazon Cognito 会覆盖 redirect_uri 参数,并以独占方式处理 logout_uri 参数。 - response_type
-
您希望在用户登录后从 Amazon Cognito 收到的 OAuth 2.0 响应。
code和token是 r esponse_t ype 参数的有效值。在您使用 redirect_uri 参数时是必需的。
- 状态
-
当应用程序向请求添加 state 参数时,如果
/oauth2/logout端点重新导向您的用户,则 Amazon Cognito 将此参数的值返回给您的应用程序。将此值添加到您的请求中以防止 CSRF
攻击。 不能将
state参数的值设置为 URL 编码的 JSON 字符串。要在state参数中传递与此格式匹配的字符串,请将该字符串编码为 base64,然后在应用程序中对其进行解码。如果您使用 redirect_uri 参数,强烈推荐使用此参数。
- 范围
-
你想在使用 redi re ct_uri 参数注销后向亚马逊 Cognito 请求的 OAuth 2.0 范围。Amazon Cognito 使用您对
/logout端点的请求中的 scope 参数将您的用户重定向到/login端点。在您使用 redirect_uri 参数时是可选的。如果不包括 scope 参数,Amazon Cognito 会使用 scope 参数将您的用户重定向到
/login端点。当 Amazon Cognito 重定向用户并自动填充scope时,该参数包括应用程序客户端的所有授权范围。
示例请求
示例:注销并将用户重新导向到客户端
当请求包含 logout_uri 和 client_id 时,Amazon Cognito 会将用户会话重定向到 logout_uri 值中的 URL,忽略所有其他请求参数。这个 URL 必须是应用程序客户端的授权注销 URL。
以下是注销并重定向到 https://www.example.com/welcome 的请求示例。
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? client_id=1example23456789& logout_uri=https%3A%2F%2Fwww.example.com%2Fwelcome
示例:注销并提示用户以其他用户身份登录
当请求省略logout_uri但以其他方式提供了构成向授权终端节点发出的格式良好的请求的参数时,Amazon Cognito 会将用户重定向到托管登录登录。注销端点会将原始请求中的参数附加到重定向目的地。
您添加到注销请求中的其他参数必须位于的列表中。请求参数例如,注销端点不支持identity_provider使用idp_identifier或参数的自动 IdP 重定向。向注销终端节点发出的请求redirect_uri中的参数不是注销 URL,而是您要传递到授权端点的 post-sign-in URL。
以下是将用户注销,重定向到登录页面,然后在登录后向 https://www.example.com 提供授权代码的请求示例。
GET https://mydomain.auth.us-east-1.amazoncognito.com/logout? response_type=code& client_id=1example23456789& redirect_uri=https%3A%2F%2Fwww.example.com& state=example-state-value& nonce=example-nonce-value& scope=openid+profile+aws.cognito.signin.user.admin