En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Quelle est la différence entre le point de terminaison de déconnexion et l'API GlobalSignOut dans Amazon Cognito ?

Lecture de 3 minute(s)
0

Je veux comprendre comment utiliser le point de terminaison de déconnexion et l'API GlobalSignOut dans Amazon Cognito.

Brève description

Le point de terminaison Amazon Cognito efface une session utilisateur d’un navigateur. L'API GlobalSignout invalide tous les jetons d'accès et d'actualisation émis pour un utilisateur spécifique.

Résolution

Déconnectez les utilisateurs à l'aide du point de terminaison de déconnexion

Lorsque vous utilisez un point de terminaison hébergé pour l'authentification des utilisateurs, Amazon Cognito stocke un cookie nommé « cognito » dans votre navigateur. Le cookie est associé au domaine Amazon Cognito configuré avec votre groupe d'utilisateurs. Le cookie est valide pendant 1 heure. Lorsqu'un utilisateur essaie de se reconnecter pendant une session active, Amazon Cognito lui demande s'il souhaite poursuivre sa session en cours. Cela permet à l'utilisateur de se connecter sans fournir d'informations d'identification. Si un utilisateur choisit le bouton Se connecter en tant que example_username pour utiliser une session existante, la validité du cookie est réinitialisée à 1 heure.

Lorsqu'un utilisateur visite le point de terminaison de déconnexion dans son navigateur, Amazon Cognito efface le cookie de session. L'utilisateur doit fournir ses informations d'identification pour se reconnecter.

Lorsqu'un utilisateur se connecte à l'aide de fournisseurs d'identité (IdP) tiers, il doit effectuer une étape supplémentaire. Si un utilisateur se connecte à l'aide de l'un des IdP tiers, le cookie « cognito » du navigateur est effacé en accédant au point de terminaison. Cependant, l'IdP peut toujours avoir une session active. Tenez compte des informations suivantes lorsque vous effacez la session IdP de l'utilisateur :

  • Amazon Cognito prend en charge la fonctionnalité de déconnexion unique (SLO) pour les IdP du Security Assertion Markup Language version 2.0 (SAML 2.0) avec liaison HTTP POST. Si votre fournisseur accepte la liaison HTTP POST sur son point de terminaison SLO, envisagez d'implémenter SLO pour les IdP SAML. Si un utilisateur visite le point de terminaison de déconnexion avec SLO activé, Amazon Cognito envoie une demande de déconnexion signée à l'IdP SAML. Ensuite, l'IdP SAML efface la session IdP.
  • Pour les IdP sociaux et OpenID Connect (OIDC), vous devez créer un flux de travail personnalisé pour effacer la session IdP depuis le navigateur.

Déconnexion des utilisateurs avec l'API GlobalSignOut

Lorsque vous utilisez l'API GlobalSignout, Amazon Cognito révoque tous les jetons d'accès et d'actualisation émis pour un utilisateur. Notez que seul Amazon Cognito est informé de la révocation du jeton. Votre application peut continuer à accepter les jetons jusqu'à leur expiration.

Votre application peut utiliser à la fois les API GlobalSignout et AdminUserGlobalSignout pour déconnecter les utilisateurs du monde entier. Lorsque votre application utilise les API REST pour l'authentification des utilisateurs Amazon Cognito, vous devez utiliser ces API pour déconnecter les utilisateurs.

Lorsque l'application essaie d'utiliser un jeton révoqué, Amazon Cognito génère une erreur indiquant que vous avezrévoqué le jeton d'actualisation. L'utilisateur doit se reconnecter pour obtenir un nouvel ensemble de jetons Web JSON (JWT).

Vous pouvez configurer le délai d'expiration de vos jetons d'accès et d'identification dans le client de l'application de votre groupe d'utilisateurs. Vous pouvez modifier le délai d'expiration à une valeur comprise entre 5 minutes et 24 heures.


AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans