Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfung von JSON-Web-Tokens
JSON-Webtoken (JWTs) können einfach dekodiert, gelesen und geändert werden. Ein modifiziertes Zugriffstoken birgt das Risiko einer Rechteerweiterung. Ein modifiziertes ID-Token birgt das Risiko eines Identitätswechsels. Ihre Anwendung vertraut Ihrem Benutzerpool als Token-Aussteller, aber was ist, wenn ein Benutzer das Token während der Übertragung abfängt? Sie müssen sicherstellen, dass Ihre Anwendung dasselbe Token erhält, das Amazon Cognito ausgestellt hat.
Amazon Cognito gibt Token aus, die einige der Integritäts- und Vertraulichkeitsfunktionen der OpenID Connect (OIDC) -Spezifikation nutzen. Benutzerpool-Token geben anhand von Objekten wie der Ablaufzeit, dem Aussteller und der digitalen Signatur die Gültigkeit an. Die Signatur, das dritte und letzte Segment des durch . -getrennten JWT, ist die Schlüsselkomponente der Token-Validierung. Ein böswilliger Benutzer kann ein Token ändern, aber wenn Ihre Anwendung den öffentlichen Schlüssel abruft und die Signatur vergleicht, stimmt sie nicht überein. Jede Anwendung, die JWTs über die OIDC-Authentifizierung verarbeitet, muss diesen Überprüfungsvorgang bei jeder Anmeldung durchführen.
Auf dieser Seite geben wir einige allgemeine und spezifische Empfehlungen für die Überprüfung von JWTs. Die Anwendungsentwicklung umfasst eine Vielzahl von Programmiersprachen und Plattformen. Da Amazon Cognito OIDC so nah an der öffentlichen Spezifikation implementiert, kann jede seriöse JWT-Bibliothek in der Entwicklungsumgebung Ihrer Wahl Ihre Überprüfungsanforderungen erfüllen.
Diese Schritte beschreiben die Verifizierung eines Benutzerpool-JSON-Web-Tokens (JWT).
Voraussetzungen
Ihre Bibliothek, Ihr SDK oder Ihr Software-Framework erledigt möglicherweise bereits Aufgaben in diesem Abschnitt. AWSSDKs bieten Tools für die Handhabung und Verwaltung von Amazon Cognito Cognito-Benutzerpool-Tokens in Ihrer App. AWS Amplifybeinhaltet Funktionen zum Abrufen und Aktualisieren von Amazon Cognito Cognito-Token.
Weitere Informationen finden Sie auf den folgenden Seiten.
Viele Bibliotheken sind zum Decodieren und Verifizieren eines JSON Web Token (JWT) verfügbar. Wenn Sie Tokens für die serverseitige API-Verarbeitung manuell verarbeiten müssen, oder wenn Sie andere Programmiersprachen verwenden, können diese Bibliotheken hilfreich sein. Weitere Informationen finden Sie in der Liste der OpenID Foundation mit Bibliotheken für die Arbeit mit JWT-Token
Validieren von Tokens mit aws-jwt-verify
AWSEmpfiehlt der aws-jwt-verifyBibliothekaws-jwt-verify können Sie einen CognitoJwtVerifier mit den Anspruchswerten auffüllen, die Sie für einen oder mehrere Benutzerpools überprüfen möchten. Zu den Werten, die überprüft werden können, gehören, dass
-
die Zugangs- oder ID-Tokens nicht falsch formatiert oder abgelaufen sind und eine gültige Signatur haben;
-
die Zugriffstokens von den korrekten Benutzerpools und App-Clients
kommen; -
die Zugriffstokenansprüche die korrekten OAuth-2.0-Bereiche
enthalten; -
die Schlüssel, die Ihre Zugangs- und ID-Tokens signiert haben, mit einem
kid-Signaturschlüssel aus der JWKS-URI Ihrer Benutzerpools übereinstimmen. Die JWKS-URI enthält öffentliche Informationen über den privaten Schlüssel, mit dem das Token Ihres Benutzers signiert wurde. Die JWKS-URI für Ihren Benutzerpool finden Sie unter
https://cognito-idp..<Region>.amazonaws.com/<userPoolId>/.well-known/jwks.json
Weitere Informationen und Beispielcode, den Sie in einer Node.js App oder einem AWS Lambda Authorizer verwenden können, finden Sie aws-jwt-verify
Tokens verstehen und überprüfen
Bevor Sie die Token-Inspektion in Ihre App integrieren, sollten Sie sich überlegen, wie Amazon Cognito JWTs zusammenstellt. Rufen Sie Beispiel-Tokens aus Ihrem Benutzerpool ab. Dekodieren und untersuchen Sie diese im Detail, um ihre Eigenschaften zu verstehen, und legen Sie fest, was Sie wann überprüfen möchten. So können Sie beispielsweise in einem Szenario die Gruppenmitgliedschaft und in einem anderen Bereiche überprüfen.
In den folgenden Abschnitten wird ein Prozess beschrieben, mit dem Sie Amazon Cognito JWTs bei der Vorbereitung Ihrer App manuell überprüfen können.
Bestätigen der Struktur des JWT
Ein JSON-Web-Token (JWT) enthält drei Abschnitte mit einem . (Punkt)-Zeichen dazwischen.
- Header
-
Die Schlüssel-ID,
kid, und der RSA-Algorithmus,alg, mit denen Amazon Cognito das Token signiert hat. Amazon Cognito signiert Tokens mit einemalgvonRS256. Dabeikidhandelt es sich um einen gekürzten Verweis auf einen privaten 2048-Bit-RSA-Signaturschlüssel, der in Ihrem Benutzerpool gespeichert ist. - Nutzlast
-
Token-Ansprüche. In einem ID-Token enthalten die Ansprüche Benutzerattribute und Informationen über den Benutzerpool,
iss, und den App-Client,aud. In einem Zugriffstoken umfasst die Payload Bereiche, Gruppenmitgliedschaft, Ihren Benutzerpool alsissund Ihren App-Client alsclient_id. - Signatur
-
Die Signatur ist nicht dekodierbar base64url wie Header und Payload. Es handelt sich um eine RSA256-ID, die aus einem Signaturschlüssel und Parametern abgeleitet ist, die Sie auf Ihrer JWKS-URI sehen können.
Der Header und die Nutzlast sind base64url-kodiertes JSON. Sie können sie anhand der Zeichen eyJ am Anfang erkennen, die zum Startzeichen { dekodiert werden. Wenn Ihr Benutzer Ihrer App ein base64url-codiertes JWT präsentiert und es nicht im Format ist[JSON Header].[JSON Payload].[Signature], ist es kein gültiges Amazon Cognito Cognito-Token und Sie können es verwerfen.
Die folgende Beispielanwendung verifiziert Benutzerpool-Token mit. aws-jwt-verify
// cognito-verify.js // Usage example: node cognito-verify.js eyJra789ghiEXAMPLE const { CognitoJwtVerifier } = require('aws-jwt-verify'); // Replace with your Amazon Cognito user pool ID const userPoolId = 'us-west-2_EXAMPLE'; async function verifyJWT(token) { try { const verifier = CognitoJwtVerifier.create({ userPoolId, tokenUse: 'access', // or 'id' for ID tokens clientId: '1example23456789', // you must verify the token audience }); const payload = await verifier.verify(token); console.log('Decoded JWT:', payload); } catch (err) { console.error('Error verifying JWT:', err); } } // Example usage if (process.argv.length < 3) { console.error('Please provide a JWT token as an argument.'); process.exit(1); } const MyToken = process.argv[2]; verifyJWT(MyToken);
Überprüfen des JWT
Die JWT-Signatur ist eine gehashte Kombination aus Header und Nutzlast. Amazon Cognito generiert zwei Paare RSA-Kryptoschlüssel für jeden Benutzerpool. Ein privater Schlüssel signiert Zugriffstokens und der andere signiert ID-Tokens.
Verifizieren der Signatur eines JWT-Tokens
-
Dekodieren Sie das ID-Token.
Die OpenID Foundation pflegt auch eine Liste mit Bibliotheken für die Arbeit mit JWT-Token
. Sie können es auch verwenden, AWS Lambda um Benutzerpool-JWTs zu dekodieren. Weitere Informationen finden Sie unter Amazon Cognito JWT-Token dekodieren und verifizieren
mithilfe von. AWS Lambda -
Vergleichen Sie die lokale Schlüssel-ID (
kid) mit der öffentlichenkid.-
Laden Sie den entsprechenden JWK (JSON Web Key) für Ihren Benutzerpool herunter und speichern Sie ihn. Er ist als Teil eines JWKS (JSON Web Key Set) verfügbar. Sie können ihn finden, indem Sie die folgende
jwks_uri-URI für Ihre Umgebung konstruieren:https://cognito-idp.<Region>.amazonaws.com/<userPoolId>/.well-known/jwks.jsonWeitere Informationen zu JWK- und JWK-Sets finden Sie unter JSON Web Key (JWK)
. Anmerkung
Amazon Cognito rotiert möglicherweise die Signaturschlüssel in Ihrem Benutzerpool. Es hat sich bewährt, öffentliche Schlüssel in Ihrer App zwischenzuspeichern, indem Sie
kidals Cache-Schlüssel verwenden und den Cache regelmäßig aktualisieren. Vergleichen Sie diekidin den Tokens, die Ihre App erhält, mit Ihrem Cache.Wenn Sie ein Token mit dem korrekten Aussteller, aber einer anderen
kiderhalten, hat Amazon Cognito möglicherweise den Signaturschlüssel rotiert. Aktualisieren Sie den Cache von Ihrem Benutzerpool–jwks_uri-Endpunkt aus.Dies ist eine
jwks.json-Beispieldatei:{ "keys": [{ "kid": "1234example=", "alg": "RS256", "kty": "RSA", "e": "AQAB", "n": "1234567890", "use": "sig" }, { "kid": "5678example=", "alg": "RS256", "kty": "RSA", "e": "AQAB", "n": "987654321", "use": "sig" }] }- Schlüssel-ID (
kid) -
Der
kid-Parameter ist ein Hinweis darauf, welcher Schlüssel verwendet wurde, um die JSON-Websignatur (JWS) des Tokens zu sichern. - Algorithmus (
alg) -
Der
alg-Header-Parameter stellt den kryptografischen Algorithmus dar, mit dem das ID-Token gesichert wird. Benutzerpools verwenden einen kryptografischen RS256-Algorithmus, bei dem es sich um eine RSA-Signatur mit handelt. SHA-256 Weitere Informationen zu RSA finden Sie unter RSA-Kryptografie. - Schlüsseltyp (
kty) -
Der
kty-Parameter identifiziert die kryptografischen Algorithmus-Familie, die mit dem Schlüssel verwendet wird, z. B. „RSA“ in diesem Beispiel. - RSA-Exponent (
e) -
Der
e-Parameter enthält den Exponentenwert für den öffentlichen RSA-Schlüssel. Er wird als Wert dargestellt. Base64urlUInt-encoded - RSA-Modulo (
n) -
Der
n-Parameter enthält den Modulo-Wert für den öffentlichen RSA-Schlüssel. Es wird als Base64urlUInt-encoded Wert dargestellt. - Verwenden von (
use) -
Der
use-Parameter beschreibt die beabsichtigte Verwendung des öffentlichen Schlüssels. In diesem Beispiel stellt deruse-Wertsigdie Signatur dar.
- Schlüssel-ID (
-
Durchsuchen Sie den öffentlichen JSON-Web-Schlüssel nach einer
kiddie mit derkidIhres JWT übereinstimmt.
-
Überprüfen der Ansprüche
Überprüfen der JWT-Ansprüche
-
Stellen Sie mit einer der folgenden Methoden sicher, dass das Token nicht abgelaufen ist.
-
Dekodieren Sie das Token und vergleichen Sie den
exp-Anspruch mit der aktuellen Uhrzeit. -
Wenn Ihr Zugriffstoken einen
aws.cognito.signin.user.adminAnspruch enthält, senden Sie eine Anfrage an eine API wie GetUser. API-Anfragen, die Sie mit einem Zugriffs-Token autorisieren, geben einen Fehler zurück, wenn Ihr Token abgelaufen ist. -
Präsentieren Sie Ihr Zugriffs-Token in einer Anfrage an den UserInfo-Endpunkt. Ihre Anfrage gibt einen Fehler zurück, wenn Ihr Token abgelaufen ist.
-
-
Der
audAnspruch in einem ID-Token und derclient_idAnspruch in einem Zugriffstoken müssen mit der App-Client-ID übereinstimmen, die im Amazon Cognito Cognito-Benutzerpool erstellt wurde. -
Der Antrag des Ausstellers (
iss) muss mit Ihrem Benutzerpool übereinstimmen. Ein in derus-east-1-Region erstellter Benutzerpool hat den folgendeniss-Wert:https://cognito-idp.us-east-1.amazonaws.com/.<userpoolID> -
Prüfen Sie den
token_use-Anspruch.-
Wenn Sie nur das Zugriffstoken in den Web-API-Operationen akzeptieren, muss der Wert lauten
access. -
Verwenden Sie nur das ID-Token, muss der Wert sein
id. -
Wenn Sie ID- und Zugriffstoken verwenden, muss der
token_use-Anspruchidoderaccesssein.
-
Jetzt können Sie den Ansprüchen innerhalb des Tokens vertrauen.