本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PKCE在授权码中使用授权
Amazon Cognito 在授权码授权中支持代码交换 (PKCE) 身份验证的证明密钥。PKCE是的扩展 OAuth 2.0 为公共客户授予授权码。PKCE防止兑换截获的授权码。
亚马逊 Cognito 是如何使用的 PKCE
要开始身份验证PKCE,您的应用程序必须生成一个唯一的字符串值。此字符串是代码验证器,Amazon Cognito 使用该值将请求初始授权的客户端与使用授权码交换令牌的客户进行比较。
您的应用程序必须对代码验证器字符串应用SHA256哈希值,并将结果编码为 base64。将经过哈希处理的字符串对端点授权作为请求正文中的code_challenge
参数传递给的。当您的应用程序将授权码交换为令牌时,它必须将纯文本的代码验证器字符串作为code_verifier
参数包含在请求正文中。令牌端点Amazon Cognito 对代码验证器执行相同的 hash-and-encode操作。Amazon Cognito 仅在确定代码验证器产生的代码质询与授权请求中收到的代码质询相同,才会返回 ID、访问和刷新令牌。
使用实现授权授予流程 PKCE
-
打开 Amazon Cognito 控制台
。如果出现提示,请输入您的 Amazon 凭据。 -
选择用户池。
-
从列表中选择一个现有用户池,或创建一个用户池。如果您创建了用户池,则在向导期间,系统将提示您设置应用程序客户端并配置托管用户界面。
-
生成一个随机的字母数字字符串(通常是通用唯一标识符 (UUID)),为创建代码挑战。PKCE此字符串是您将在向的请求中提交的
code_verifier
参数的值令牌端点。 -
用SHA256算法对
code_verifier
字符串进行哈希处理。将哈希操作的结果编码为 base64。此字符串是您将在向的请求中提交的code_challenge
参数的值对端点授权。以下 Python 示例生成 a
code_verifier
并计算code_challenge
:#!/usr/bin/env python3 import random from base64 import urlsafe_b64encode from hashlib import sha256 from string import ascii_letters from string import digits # use a cryptographically strong random number generator source rand = random.SystemRandom() code_verifier = ''.join(rand.choices(ascii_letters + digits, k=128)) code_verifier_hash = sha256(code_verifier.encode()).digest() code_challenge = urlsafe_b64encode(code_verifier_hash).decode().rstrip('=') print(f"code challenge: {code_challenge}") print(f"code verifier: {code_verifier}")
以下是来自的输出示例 Python 脚本:
code challenge: Eh0mg-OZv7BAyo-tdv_vYamx1boOYDulDklyXoMDtLg code verifier: 9D-aW_iygXrgQcWJd0y0tNVMPSXSChIc2xceDhvYVdGLCBk-JWFTmBNjvKSdOrjTTYazOFbUmrFERrjWx6oKtK2b6z_x4_gHBDlr4K1mRFGyE8yA-05-_v7Dxf3EIYJH
-
使用授权码授权请求完成托管 UI 登录。PKCE以下是一个示例URL:
https://
mydomain.us-east-1.amazoncognito.com
/oauth2/authorize?response_type=code&client_id=1example23456789
&redirect_uri=https://www.example.com
&code_challenge=Eh0mg-OZv7BAyo-tdv_vYamx1boOYDulDklyXoMDtLg
&code_challenge_method=S256 -
收集授权
code
并使用令牌端点将其兑换为令牌。以下是一个请求示例:POST /oauth2/token HTTP/1.1 Host:
mydomain.us-east-1.amazoncognito.com
Content-Type: application/x-www-form-urlencoded Content-Length: 296 redirect_uri=https%3A%2F%2Fwww.example.com
& client_id=1example23456789
& code=7378f445-c87f-400c-855e-0297d072ff03
& grant_type=authorization_code& code_verifier=9D-aW_iygXrgQcWJd0y0tNVMPSXSChIc2xceDhvYVdGLCBk-JWFTmBNjvKSdOrjTTYazOFbUmrFERrjWx6oKtK2b6z_x4_gHBDlr4K1mRFGyE8yA-05-_v7Dxf3EIYJH
-
查看回复。它将包含 ID、访问和刷新令牌。有关使用 Amazon Cognito 用户池令牌的更多信息,请参阅。了解用户池 JSON Web 令牌 (JWTs)