View a markdown version of this page

Überprüfung von JSON-Web-Tokens - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung von JSON-Web-Tokens

JSON-Webtoken (JWTs) können einfach dekodiert, gelesen und geändert werden. Ein modifiziertes Zugriffstoken birgt das Risiko einer Rechteerweiterung. Ein modifiziertes ID-Token birgt das Risiko eines Identitätswechsels. Ihre Anwendung vertraut Ihrem Benutzerpool als Token-Aussteller, aber was ist, wenn ein Benutzer das Token während der Übertragung abfängt? Sie müssen sicherstellen, dass Ihre Anwendung dasselbe Token erhält, das Amazon Cognito ausgestellt hat.

Amazon Cognito gibt Token aus, die einige der Integritäts- und Vertraulichkeitsfunktionen der OpenID Connect (OIDC) -Spezifikation nutzen. Benutzerpool-Token geben anhand von Objekten wie der Ablaufzeit, dem Aussteller und der digitalen Signatur die Gültigkeit an. Die Signatur, das dritte und letzte Segment des durch . -getrennten JWT, ist die Schlüsselkomponente der Token-Validierung. Ein böswilliger Benutzer kann ein Token ändern, aber wenn Ihre Anwendung den öffentlichen Schlüssel abruft und die Signatur vergleicht, stimmt sie nicht überein. Jede Anwendung, die JWTs über die OIDC-Authentifizierung verarbeitet, muss diesen Überprüfungsvorgang bei jeder Anmeldung durchführen.

Auf dieser Seite geben wir einige allgemeine und spezifische Empfehlungen für die Überprüfung von JWTs. Die Anwendungsentwicklung umfasst eine Vielzahl von Programmiersprachen und Plattformen. Da Amazon Cognito OIDC so nah an der öffentlichen Spezifikation implementiert, kann jede seriöse JWT-Bibliothek in der Entwicklungsumgebung Ihrer Wahl Ihre Überprüfungsanforderungen erfüllen.

Diese Schritte beschreiben die Verifizierung eines Benutzerpool-JSON-Web-Tokens (JWT).

Voraussetzungen

Ihre Bibliothek, Ihr SDK oder Ihr Software-Framework erledigt möglicherweise bereits Aufgaben in diesem Abschnitt. AWSSDKs bieten Tools für die Handhabung und Verwaltung von Amazon Cognito Cognito-Benutzerpool-Tokens in Ihrer App. AWS Amplifybeinhaltet Funktionen zum Abrufen und Aktualisieren von Amazon Cognito Cognito-Token.

Weitere Informationen finden Sie auf den folgenden Seiten.

Viele Bibliotheken sind zum Decodieren und Verifizieren eines JSON Web Token (JWT) verfügbar. Wenn Sie Tokens für die serverseitige API-Verarbeitung manuell verarbeiten müssen, oder wenn Sie andere Programmiersprachen verwenden, können diese Bibliotheken hilfreich sein. Weitere Informationen finden Sie in der Liste der OpenID Foundation mit Bibliotheken für die Arbeit mit JWT-Token.

Validieren von Tokens mit aws-jwt-verify

AWSEmpfiehlt der aws-jwt-verifyBibliothek in einer Node.js App, die Parameter im Token zu validieren, das Ihr Benutzer an Ihre App übergibt. Mit aws-jwt-verify können Sie einen CognitoJwtVerifier mit den Anspruchswerten auffüllen, die Sie für einen oder mehrere Benutzerpools überprüfen möchten. Zu den Werten, die überprüft werden können, gehören, dass

Weitere Informationen und Beispielcode, den Sie in einer Node.js App oder einem AWS Lambda Authorizer verwenden können, finden Sie aws-jwt-verifyunter GitHub.

Tokens verstehen und überprüfen

Bevor Sie die Token-Inspektion in Ihre App integrieren, sollten Sie sich überlegen, wie Amazon Cognito JWTs zusammenstellt. Rufen Sie Beispiel-Tokens aus Ihrem Benutzerpool ab. Dekodieren und untersuchen Sie diese im Detail, um ihre Eigenschaften zu verstehen, und legen Sie fest, was Sie wann überprüfen möchten. So können Sie beispielsweise in einem Szenario die Gruppenmitgliedschaft und in einem anderen Bereiche überprüfen.

In den folgenden Abschnitten wird ein Prozess beschrieben, mit dem Sie Amazon Cognito JWTs bei der Vorbereitung Ihrer App manuell überprüfen können.

Bestätigen der Struktur des JWT

Ein JSON-Web-Token (JWT) enthält drei Abschnitte mit einem . (Punkt)-Zeichen dazwischen.

Header

Die Schlüssel-ID, kid, und der RSA-Algorithmus, alg, mit denen Amazon Cognito das Token signiert hat. Amazon Cognito signiert Tokens mit einem alg von RS256. Dabei kid handelt es sich um einen gekürzten Verweis auf einen privaten 2048-Bit-RSA-Signaturschlüssel, der in Ihrem Benutzerpool gespeichert ist.

Nutzlast

Token-Ansprüche. In einem ID-Token enthalten die Ansprüche Benutzerattribute und Informationen über den Benutzerpool, iss, und den App-Client, aud. In einem Zugriffstoken umfasst die Payload Bereiche, Gruppenmitgliedschaft, Ihren Benutzerpool als iss und Ihren App-Client als client_id.

Signatur

Die Signatur ist nicht dekodierbar base64url wie Header und Payload. Es handelt sich um eine RSA256-ID, die aus einem Signaturschlüssel und Parametern abgeleitet ist, die Sie auf Ihrer JWKS-URI sehen können.

Der Header und die Nutzlast sind base64url-kodiertes JSON. Sie können sie anhand der Zeichen eyJ am Anfang erkennen, die zum Startzeichen { dekodiert werden. Wenn Ihr Benutzer Ihrer App ein base64url-codiertes JWT präsentiert und es nicht im Format ist[JSON Header].[JSON Payload].[Signature], ist es kein gültiges Amazon Cognito Cognito-Token und Sie können es verwerfen.

Die folgende Beispielanwendung verifiziert Benutzerpool-Token mit. aws-jwt-verify

// cognito-verify.js // Usage example: node cognito-verify.js eyJra789ghiEXAMPLE const { CognitoJwtVerifier } = require('aws-jwt-verify'); // Replace with your Amazon Cognito user pool ID const userPoolId = 'us-west-2_EXAMPLE'; async function verifyJWT(token) { try { const verifier = CognitoJwtVerifier.create({ userPoolId, tokenUse: 'access', // or 'id' for ID tokens clientId: '1example23456789', // you must verify the token audience }); const payload = await verifier.verify(token); console.log('Decoded JWT:', payload); } catch (err) { console.error('Error verifying JWT:', err); } } // Example usage if (process.argv.length < 3) { console.error('Please provide a JWT token as an argument.'); process.exit(1); } const MyToken = process.argv[2]; verifyJWT(MyToken);

Überprüfen des JWT

Die JWT-Signatur ist eine gehashte Kombination aus Header und Nutzlast. Amazon Cognito generiert zwei Paare RSA-Kryptoschlüssel für jeden Benutzerpool. Ein privater Schlüssel signiert Zugriffstokens und der andere signiert ID-Tokens.

Verifizieren der Signatur eines JWT-Tokens
  1. Dekodieren Sie das ID-Token.

    Die OpenID Foundation pflegt auch eine Liste mit Bibliotheken für die Arbeit mit JWT-Token.

    Sie können es auch verwenden, AWS Lambda um Benutzerpool-JWTs zu dekodieren. Weitere Informationen finden Sie unter Amazon Cognito JWT-Token dekodieren und verifizieren mithilfe von. AWS Lambda

  2. Vergleichen Sie die lokale Schlüssel-ID (kid) mit der öffentlichen kid.

    1. Laden Sie den entsprechenden JWK (JSON Web Key) für Ihren Benutzerpool herunter und speichern Sie ihn. Er ist als Teil eines JWKS (JSON Web Key Set) verfügbar. Sie können ihn finden, indem Sie die folgende jwks_uri-URI für Ihre Umgebung konstruieren:

      https://cognito-idp.<Region>.amazonaws.com/<userPoolId>/.well-known/jwks.json

      Weitere Informationen zu JWK- und JWK-Sets finden Sie unter JSON Web Key (JWK).

      Anmerkung

      Amazon Cognito rotiert möglicherweise die Signaturschlüssel in Ihrem Benutzerpool. Es hat sich bewährt, öffentliche Schlüssel in Ihrer App zwischenzuspeichern, indem Sie kid als Cache-Schlüssel verwenden und den Cache regelmäßig aktualisieren. Vergleichen Sie die kid in den Tokens, die Ihre App erhält, mit Ihrem Cache.

      Wenn Sie ein Token mit dem korrekten Aussteller, aber einer anderen kid erhalten, hat Amazon Cognito möglicherweise den Signaturschlüssel rotiert. Aktualisieren Sie den Cache von Ihrem Benutzerpool–jwks_uri-Endpunkt aus.

      Dies ist eine jwks.json-Beispieldatei:

      { "keys": [{ "kid": "1234example=", "alg": "RS256", "kty": "RSA", "e": "AQAB", "n": "1234567890", "use": "sig" }, { "kid": "5678example=", "alg": "RS256", "kty": "RSA", "e": "AQAB", "n": "987654321", "use": "sig" }] }
      Schlüssel-ID (kid)

      Der kid-Parameter ist ein Hinweis darauf, welcher Schlüssel verwendet wurde, um die JSON-Websignatur (JWS) des Tokens zu sichern.

      Algorithmus (alg)

      Der alg-Header-Parameter stellt den kryptografischen Algorithmus dar, mit dem das ID-Token gesichert wird. Benutzerpools verwenden einen kryptografischen RS256-Algorithmus, bei dem es sich um eine RSA-Signatur mit handelt. SHA-256 Weitere Informationen zu RSA finden Sie unter RSA-Kryptografie.

      Schlüsseltyp (kty)

      Der kty-Parameter identifiziert die kryptografischen Algorithmus-Familie, die mit dem Schlüssel verwendet wird, z. B. „RSA“ in diesem Beispiel.

      RSA-Exponent (e)

      Der e-Parameter enthält den Exponentenwert für den öffentlichen RSA-Schlüssel. Er wird als Wert dargestellt. Base64urlUInt-encoded

      RSA-Modulo (n)

      Der n-Parameter enthält den Modulo-Wert für den öffentlichen RSA-Schlüssel. Es wird als Base64urlUInt-encoded Wert dargestellt.

      Verwenden von (use)

      Der use-Parameter beschreibt die beabsichtigte Verwendung des öffentlichen Schlüssels. In diesem Beispiel stellt der use-Wert sig die Signatur dar.

    2. Durchsuchen Sie den öffentlichen JSON-Web-Schlüssel nach einer kid die mit der kid Ihres JWT übereinstimmt.

Überprüfen der Ansprüche

Überprüfen der JWT-Ansprüche
  1. Stellen Sie mit einer der folgenden Methoden sicher, dass das Token nicht abgelaufen ist.

    1. Dekodieren Sie das Token und vergleichen Sie den exp-Anspruch mit der aktuellen Uhrzeit.

    2. Wenn Ihr Zugriffstoken einen aws.cognito.signin.user.admin Anspruch enthält, senden Sie eine Anfrage an eine API wie GetUser. API-Anfragen, die Sie mit einem Zugriffs-Token autorisieren, geben einen Fehler zurück, wenn Ihr Token abgelaufen ist.

    3. Präsentieren Sie Ihr Zugriffs-Token in einer Anfrage an den UserInfo-Endpunkt. Ihre Anfrage gibt einen Fehler zurück, wenn Ihr Token abgelaufen ist.

  2. Der aud Anspruch in einem ID-Token und der client_id Anspruch in einem Zugriffstoken müssen mit der App-Client-ID übereinstimmen, die im Amazon Cognito Cognito-Benutzerpool erstellt wurde.

  3. Der Antrag des Ausstellers (iss) muss mit Ihrem Benutzerpool übereinstimmen. Ein in der us-east-1-Region erstellter Benutzerpool hat den folgenden iss-Wert:

    https://cognito-idp.us-east-1.amazonaws.com/<userpoolID>.

  4. Prüfen Sie den token_use-Anspruch.

    • Wenn Sie nur das Zugriffstoken in den Web-API-Operationen akzeptieren, muss der Wert lauten access.

    • Verwenden Sie nur das ID-Token, muss der Wert sein id.

    • Wenn Sie ID- und Zugriffstoken verwenden, muss der token_use-Anspruch id oder access sein.

Jetzt können Sie den Ansprüchen innerhalb des Tokens vertrauen.