本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 用户池端点和托管登录参考 Amazon Cognito 有两种用户池身份验证模式:使用用户池 API 和使用 OAuth 2.0 授权服务器。如果您想在应用程序后端使用 Amazon 软件开发工具包检索 OpenID Connect (OIDC) 令牌,请使用 API。当您要将用户池实施为 OIDC 提供者时,请使用授权服务器。授权服务器添加了[联合身份验证登录](cognito-user-pools-identity-federation.md)、[具有访问令牌范围的 API 和 M2M 授权](cognito-user-pools-define-resource-servers.md)以及[托管登录](cognito-user-pools-managed-login.md)等功能。您可以单独使用 API 模型和 OIDC 模型,也可以将它们一起使用,并可以在用户池级别或[应用程序客户端](user-pool-settings-client-apps.md)级别进行配置。本节提供了实施 OIDC 模型的参考。有关这两种身份验证模型的更多信息,请参阅[了解 API、OIDC 和托管登录页面身份验证](authentication-flows-public-server-side.md#user-pools-API-operations)。 当您向用户池分配域时,Amazon Cognito 会激活此处列出的公开网页。您的域用作所有应用程序客户端的中央接入点。它们包括托管登录,您的用户可以在其中注册、登录([登录端点](login-endpoint.md))和注销([注销端点](logout-endpoint.md))。有关这些资源的标签的更多信息,请参阅 [用户池托管登录](cognito-user-pools-managed-login.md)。 这些页面还包括公共网络资源,允许您的用户池与第三方 SAML、OpenID Connect (OIDC OAuth ) 和 2.0 身份提供商 () 进行通信。IdPs要使用联合身份提供者登录用户,您的用户必须向交互式托管登录[登录端点](login-endpoint.md)或 OIDC [对端点授权](authorization-endpoint.md)发起请求。授权端点将您的用户重定向到托管登录页面或 IdP 登录页面。 您的应用程序还可以使用 [Amazon Cognito 用户池 API](https://docs.amazonaws.cn/cognito-user-identity-pools/latest/APIReference/Welcome.html) 登录*本地用户*。本地用户仅存在于您的用户池目录中,无需通过外部 IdP 进行联合身份验证。 除了托管登录外,Amazon Cognito 还集成了 SDKs 适用于安卓 JavaScript、iOS 等设备的管理登录。 SDKs 提供了使用亚马逊 Cognito API 服务终端节点执行用户池 API 操作的工具。有关服务端点的更多信息,请参阅 [Amazon Cognito 身份端点和限额](https://docs.amazonaws.cn/general/latest/gr/cognito_identity.html)。 **警告** 不要锁定 Amazon Cognito 域的终端实体或中间传输层安全 (TLS) 证书。 Amazon 管理所有用户池终端节点和前缀域的所有证书。信任链中支持 Amazon Cognito 证书的证书颁发机构 (CAs) 会动态轮换和续订。当您将应用程序固定到中间证书或叶证书时,您的应用程序在 Amazon 轮换证书时可能会失败,恕不另行通知。 而应将应用程序固定到所有可用的 [Amazon 根证书](https://www.amazontrust.com/repository/)。有关更多信息,请参阅《Amazon Certificate Manager 用户指南》**的[证书固定](https://docs.amazonaws.cn/acm/latest/userguide/acm-bestpractices.html#best-practices-pinning)中的最佳做法和建议。 **Topics** + [用户交互式登录和经典托管 UI 端点](managed-login-endpoints.md) + [身份提供者和依赖方端点](federation-endpoints.md) + [OAuth 2.0 补助金](federation-endpoints-oauth-grants.md) + [在授权代码授予中使用 PKCE](using-pkce-in-authorization-code.md) + [托管登录和联合身份验证错误响应](federation-endpoint-idp-responses.md)