将社交身份提供者与用户池配合使用 - Amazon Cognito
设置开发者应用程序配置用户池测试社交登录
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将社交身份提供者与用户池配合使用

您的 Web 和移动应用程序用户可以通过社交身份提供者 (IdP)(例如 Facebook、Google、Amazon 和 Apple)进行登录。利用内置托管 Web UI,Amazon Cognito 将为所有经过身份验证的用户提供令牌处理和管理。这样,后端系统可以基于一组用户池令牌实现标准化。您必须启用托管登录才能与受支持的社交身份提供者集成。当 Amazon Cognito 构建您的托管登录页面时,它会创建 Amazon Cognito 和您的 OIDC 以及社交 IdP 用来交换信息的 OAuth 2.0 端点。有关更多信息,请参阅 Amazon Cognito 用户池 Auth API 参考

您可以在 Amazon Web Services 管理控制台 中添加社交 IdP,也可以使用 Amazon CLI 或 Amazon Cognito API。

注意

通过第三方(联合身份验证)进行登录可在 Amazon Cognito 用户池中实现。此功能不依赖于通过 Amazon Cognito 身份池(联合身份)实现的联合身份验证。

设置社交 IdP 开发人员账户和应用程序

在使用 Amazon Cognito 创建社交 IdP 之前,必须向社交 IdP 注册应用程序才能接收客户端 ID 和客户端密钥。

Facebook

有关 Meta 开发人员账户配置和身份验证的最新信息,请参阅 Meta 应用程序开发

如何向 Facebook/Meta 注册应用程序

  1. 创建 Facebook 开发人员账户

  2. 使用 Facebook 凭证登录

  3. My Apps(我的应用程序)菜单上,选择 Create New App(创建新的应用程序)。

  4. 输入 Facebook 应用程序的名称,然后选择 Create App ID(创建应用程序 ID)。

  5. 在左侧导航栏上,选择 Settings(设置),然后选择 Basic(基本)。

  6. 记下 App ID(应用程序 ID)和 App Secret(应用程序密钥)。您将在下一节中使用它们。

  7. 从页面底部选择 + Add Platform(+ 添加平台)。

  8. 选择 Website(网站)。

  9. Website(网站)下,请在您的应用程序登录页面上将路径输入到 Site URL(站点 URL)中。

    
https://mydomain.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com

  10. 选择保存更改

  11. 在您的用户池域的根目录中,将路径输入到 App Domains(应用程序域)。

    https://mydomain.auth.us-east-1.amazoncognito.com

  12. 选择保存更改

  13. 从导航栏中,选择 Add Product(添加产品),然后选择 Facebook Login(Facebook 登录)中的 Set up(设置)。

  14. 从导航栏中,选择 Facebook Login(Facebook 登录),然后选择 Settings(设置)。

    将指向用户池域的 /oauth2/idpresponse 端点的路径输入到 Valid OAuth Redirect URIs(有效的 OAuth 重新导向 URI)中。

    
https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse

  15. 选择保存更改

Login with Amazon

有关 Login with Amazon 开发人员账户配置和身份验证的最新信息,请参阅 Login with Amazon 文档

如何使用 Login with Amazon 注册应用程序

  1. 创建 Amazon 开发人员账户

  2. 使用 Amazon 凭证登录

  3. 您需要创建一个 Amazon 安全配置文件才能接收 Amazon 客户端 ID 和客户端密钥。

    从页面顶部的导航栏中选择 Apps and Services(应用程序和服务),然后选择 Login with Amazon

  4. 选择 Create a Security Profile(创建安全配置文件)。

  5. 输入 Security Profile Name(安全配置文件名称)、Security Profile Description(安全配置文件描述)和 Consent Privacy Notice URL(同意隐私声明 URL)。

  6. 选择保存

  7. 选择 Client ID(客户端 ID)和 Client Secret(客户端密钥)以显示客户端 ID 和密钥。您将在下一节中使用它们。

  8. 将鼠标悬停在齿轮图标上并选择 Web Settings(Web 设置),然后选择 Edit(编辑)。

  9. 将用户池域输入到 Allowed Origins(允许的源)中。

    https://mydomain.auth.us-east-1.amazoncognito.com

  10. 将具有 /oauth2/idpresponse 端点的用户池域输入到 Allowed Return URLs(允许的返回 URL)中。

    https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse

  11. 选择保存

Google

有关 Google Cloud 平台中的 OAuth 2.0 的更多信息,请参阅 Google Workspace for Developers 文档中的了解身份验证和授权

如何向 Google 注册应用程序

  1. 创建 Google 开发人员账户

  2. 登录到 Google Cloud Platform 控制台

  3. 从顶部导航栏中,选择 Select a project(选择项目)。如果您在 Google 平台中已经有项目,则此菜单会改为显示您的默认项目。

  4. 选择 NEW PROJECT(新建项目)。

  5. 输入产品的名称,然后选择创建

  6. 在左侧导航栏上,选择 APIs and Services(API 和服务),然后选择 Oauth consent screen(Oauth 同意屏幕)。

  7. 输入应用程序信息,App domain(应用程序域)、Authorized domains(已授权的域)和 Developer contact information(开发人员联系信息)。例如,您的 Authorized domains(已授权的域)必须包括 amazoncognito.com 和自定义域的根,例如 example.com。选择 SAVE AND CONTINUE(保存并继续)。

  8. 1. 在 Scopes(范围)下,选择 Add or remove scopes(添加或删除范围),然后至少选择以下 OAuth 范围。

    1. .../auth/userinfo.email

    2. .../auth/userinfo.profile

    3. openid

  9. Test users(测试用户)下,选择 Add users(添加用户)。输入您的电子邮件地址和任何其他授权测试用户,然后选择 SAVE AND CONTINUE(保存并继续)。

  10. 再次展开左侧导航栏,选择 APIs and Services(API 和服务),然后选择 Credentials(凭证)。

  11. 依次选择 CREATE CREDENTIALS(创建凭证)和 OAuth client ID(OAuth 客户端 ID)。

  12. 选择 Application type(应用程序类型)并为客户端提供 Name(名称)。

  13. Authorized JavaScript origins(已授权的 JavaScript 源)下,选择 ADD URI(添加 URI)。输入用户池域。

    https://mydomain.auth.us-east-1.amazoncognito.com

  14. Authorized redirect URIs(已授权的重新导向 URI)下,选择 ADD URI(添加 URI)。输入指向用户池域的 /oauth2/idpresponse 端点的路径。

    https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse

  15. 选择创建

  16. 安全地存储 Google 在 Your client ID(您的客户端 ID)和 Your client secret(您的客户端密钥)下显示的值。当您添加 Google IdP 时,请向 Amazon Cognito 提供这些值。

Sign in with Apple

有关设置“通过 Apple 登录”的最新信息,请参阅 Apple 开发人员文档中的配置环境以通过 Apple 登录

如何通过 Sign in with Apple(SIWA)注册应用程序

  1. 创建 Apple 开发人员账户

  2. 使用 Apple 凭证登录

  3. 在左侧导航栏上,选择 Certificates, Identifiers & Profiles(证书、标识符和配置文件)。

  4. 在左侧导航栏上,选择 Identifiers (标识符)

  5. Identifiers (标识符) 页面上,选择 + 图标。

  6. Register a New Identifier(注册新标识符)页面上,选择 App IDs(应用程序 ID),然后选择 Continue(继续)。

  7. Select a type(选择类型)页面上,选择 App(应用程序),然后选择 Continue(继续)。

  8. Register an App ID(注册应用程序 ID)页面上,执行以下操作:

    1. Description(说明)下,输入说明。

    2. App ID Prefix(应用程序 ID 前缀)下,输入 Bundle ID(捆绑包 ID)。记下 App ID Prefix(应用程序 ID 前缀)下的值。在使用社交 IdP 配置用户池中选择 Apple 作为身份提供者后,您将使用此值。

    3. Capabilities(功能)下,选择 Sign In with Apple,然后选择 Edit(编辑)。

    4. Sign in with Apple: App ID Configuration(通过 Apple 登录:应用程序 ID 配置)页面上,选择将应用程序设置为主应用程序或与其他应用程序 ID 分组在一起,然后选择 Save(保存)。

    5. 选择 Continue(继续)。

  9. Confirm your App ID(确认您的应用程序 ID)页面上,选择 Register(注册)。

  10. Identifiers (标识符) 页面上,选择 + 图标。

  11. Register a New Identifier(注册新标识符)页面上,选择 Services IDs(服务 ID),然后选择 Continue(继续)。

  12. Register an Services ID(注册服务 ID)页面上,执行以下操作:

    1. Description(描述)下方,键入描述。

    2. Identifier(标识符)下方,键入标识符。记下此服务 ID,因为在 中选择 Apple 作为身份提供者后需要此值使用社交 IdP 配置用户池

    3. 选择 Continue(继续),然后选择 Register(注册)。

  13. 从 Identifiers(标识符)页中选择您刚创建的 Services ID(服务 ID)。

    1. 选择 Sign In with Apple(使用苹果账号登录),然后选择 Configure(配置)。

    2. Web Authentication Configuration(Web 身份验证配置)页上,选择您先前创建的应用程序 ID 作为 Primary App ID(主应用程序 ID)。

    3. Website URLs(网站 URL)旁边选择 + 图标。

    4. Domains and subdomains(域名和子域)下,输入不带 https:// 前缀的用户池域。

      mydomain.auth.us-east-1.amazoncognito.com

    5. Return URLs(返回 URL)下,输入指向用户池域的 /oauth2/idpresponse 端点的路径。

      https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/idpresponse

    6. 选择 Next(下一步),然后选择 Done(完成)。您不需要验证域。

    7. 选择 Continue(继续),然后选择 Save(保存)。

  14. 在左侧导航栏上,选择 Keys (密钥)

  15. Keys(密钥)页面上,选择 + 图标。

  16. Register a New Key(注册新密钥)页面上,执行以下操作:

    1. Key Name(密钥名称)下,输入密钥名称。

    2. 选择 Sign In with Apple,然后选择 Configure(配置)。

    3. Configure Key(配置密钥)页上,选择您先前创建的应用程序 ID 作为 Primary App ID(主应用程序 ID)。选择保存

    4. 选择 Continue(继续),然后选择 Register(注册)。

  17. Download Your Key(下载您的密钥)页面上,选择 Download(下载)以下载私有密钥并记下显示的 Key ID(密钥 ID),然后选择 Done(完成)。在使用社交 IdP 配置用户池中选择 Apple 作为身份提供者后,您将需要此私有密钥和在此页面上显示的 Key ID(密钥 ID)值。

使用社交 IdP 配置用户池

使用 Amazon Web Services 管理控制台配置用户池社交 IdP

  1. 转到 Amazon Cognito 控制台。如果出现提示,请输入 Amazon 凭证。

  2. 选择用户池

  3. 从列表中选择一个现有用户池,或创建一个用户池。

  4. 选择社交和外部提供商菜单,然后选择添加身份提供者

  5. 选择一个社交 IdP:FacebookGoogle(谷歌)、Login with Amazon(使用亚马逊账号登录)或 Sign in with Apple(使用苹果账号登录)。

  6. 根据您选择的社交 IdP,从以下步骤中进行选择:

    • GoogleLogin with Amazon – 输入在上一部分中生成的 app client ID(应用程序客户端 ID)和 app client secret(应用程序客户端密钥)。

    • Facebook – 输入在上一部分中生成的 app client ID(应用程序客户端 ID)和 app client secret(应用程序客户端密钥),然后选择 API 版本(例如,版本 2.12)。建议选择最新的可用版本,因为每个 Facebook API 版本都有一个生命周期和一个弃用日期。Facebook 的范围和属性可能因 API 版本而异。建议您使用 Facebook 测试您的社交身份登录,以确保联合身份认证会按预期运行。

    • Sign In with Apple – 输入在上一部分中生成的 Services ID(服务 ID)、Team ID(团队 ID)、Key ID(密钥 ID)和 private key(私有密钥)。

  7. 输入要使用的 Authorized scopes(授权范围)的名称。范围定义了您要通过应用程序访问的用户属性(如 nameemail)。对于 Facebook,这些属性应用逗号分隔。对于 Google 和 Login with Amazon,则应采用空格分隔。对于 Sign in with Apple,选中要访问的范围的复选框。

    社交身份提供者 示例范围
    Facebook public_profile, email
    Google profile email openid
    以 Login with Amazon 登录 profile postal_code
    通过 Apple 登录 email name

    您的应用程序用户需要同意向您的应用程序提供这些属性。关于社交服务提供商范围的更多信息,请参阅 Google、Facebook 和 Login with Amazon 或 Sign in with Apple 的文档。

    对于 Sign in with Apple,下面提供了可能不会返回范围的用户场景:

    • 终端用户离开 Apple 登录页面后出现故障(可能来自 Amazon Cognito 内部的故障或开发人员编写的任何内容)

    • 服务 ID 标识符可在不同用户池和/或其他身份验证服务中使用

    • 在最终用户登录之前,开发人员添加了其他范围(未检索到新信息)

    • 开发人员删除用户,然后用户再次登录,而没有从其 Apple ID 配置文件中删除该应用程序

  8. 请将 IdP 的属性映射到您的用户池。有关更多信息,请参阅指定适用于用户池的身份提供程序属性映射

  9. 选择创建

  10. 应用程序客户端菜单中,从列表中选择一个应用程序客户端。要将新社交身份提供者添加到该应用程序客户端,请导航到登录页面选项卡,然后选择托管登录页面配置上的编辑

  11. 选择保存更改

测试社交 IdP 配置

在您的应用程序中,您必须在用户的客户端中调用浏览器,这样他们才能使用社交服务提供商进行登录。完成前几节中的设置过程后,使用社交服务提供商测试登录。以下示例 URL 通过前缀域加载用户池的登录页面。


https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com

此链接是当您转到应用程序客户端菜单,选择应用程序客户端,导航到登录页面选项卡,然后选择查看登录页面时,Amazon Cognito 将您引导至的页面。有关用户池域的更多信息,请参阅 配置用户池域。有关应用程序客户端(包括客户端 ID 和回调 URL)的更多信息,请参阅特定于应用程序的应用程序客户端设置

以下链接示例通过 identity_provider 查询参数设置从对端点授权到社交服务提供商的静默重定向。此 URL 会绕过使用托管登录的交互式用户池登录,直接转到 IdP 登录页面。


https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/authorize?identity_provider=Facebook|Google|LoginWithAmazon|SignInWithApple&response_type=code&client_id=1example23456789&redirect_uri=https://www.example.com