Punto de conexión del emisor del token - Amazon Cognito
Formato de las solicitudesEjemplo: código de autorizaciónEjemplo: credenciales de cliente con autorización básicaEjemplo: credenciales de cliente con autorización en el cuerpoEjemplo: código de autorización con PKCEEjemplo: actualización de concesión del token sin rotaciónEjemplo: rotación de tokens de actualizaciónRespuestas de error

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Punto de conexión del emisor del token

El punto final del token OAuth 2.0 /oauth2/token emite tokens web JSON (JWTs) a las aplicaciones que desean completar los flujos de concesión de códigos de autorización y credenciales de clientes. Estos tokens son el resultado final de la autenticación con un grupo de usuarios. Contienen información sobre el usuario (token de ID), su nivel de acceso (token de acceso) y su derecho a conservar la sesión en la que ha iniciado sesión (token de actualización). Las bibliotecas de relaciones de confianza de OpenID Connect (OIDC) administran las solicitudes y las cargas útiles de respuesta desde este punto de conexión. Los tokens proporcionan una prueba de autenticación verificable, información de perfil y un mecanismo de acceso a los sistemas de backend.

El servidor de autorización de su grupo de usuarios OAuth 2.0 emite tokens web JSON (JWTs) desde el punto de enlace del token a los siguientes tipos de sesiones:

  1. Usuarios que han completado una solicitud de concesión de código de autorización. Al canjear correctamente un código, se obtienen tokens de ID, acceso y actualización.

  2. Machine-to-machine Sesiones (M2M) que han completado una concesión de credenciales de cliente. Una autorización correcta con el secreto del cliente devuelve un token de acceso.

  3. Usuarios que han iniciado sesión anteriormente y han recibido tokens de actualización. La autenticación de token de actualización devuelve tokens de acceso e ID nuevos.

    nota

    Los usuarios que inicien sesión con una concesión de código de autorización en el inicio de sesión administrado o mediante federación siempre pueden actualizar los tokens desde el punto de conexión del token. Los usuarios que inician sesión con las operaciones de API InitiateAuth y AdminInitiateAuth pueden actualizar los tokens con el punto de conexión del token cuando los dispositivos recordados no estén activos en el grupo de usuarios. Si la funcionalidad de dispositivos recordados está activa, actualice los tokens con la operación de actualización de token de la API o el SDK que corresponda para su cliente de aplicación.

El punto de conexión del token pasa a estar disponible públicamente cuando agrega un dominio a su grupo de usuarios. Acepta solicitudes HTTP POST. Para proteger la aplicación, utilice la PKCE en los eventos de inicio de sesión con código de autorización. PKCE verifica que el usuario que pasa un código de autorización es el mismo que se autenticó. Para obtener más información sobre la PKCE, consulte IETF RFC 7636.

Puedes obtener más información sobre el grupo de usuarios de los clientes de la aplicación y sus tipos de concesión, sus secretos, los ámbitos permitidos y el cliente en. IDs Ajustes específicos de una aplicación en los clientes de aplicación Puede obtener más información sobre la autorización de M2M, las concesiones de credenciales de cliente y la autorización con ámbitos de token de acceso en Ámbitos, M2M y servidores de recursos.

Para recuperar información sobre un usuario a partir de su token de acceso, páselo a su El punto de conexión userInfo o a una solicitud de API GetUser. El token de acceso debe contener los ámbitos adecuados para estas solicitudes.

Formateado de una solicitud POST en el punto de conexión de token

El punto de enlace /oauth2/token solo admite HTTPS POST. Este punto de conexión no es interactivo para el usuario. Gestione las solicitudes de token con una biblioteca OpenID Connect (OIDC) en su aplicación.

El punto de conexión de token admite la autenticación client_secret_basic y client_secret_post. Para obtener más información sobre la especificación OIDC, consulte Client Authentication. Para obtener más información sobre el punto de conexión de token de la especificación OpenID Connect, consulte Punto de conexión de token.

Parámetros de la solicitud en el encabezado

Puede pasar los siguientes parámetros en el encabezado de su solicitud al punto de conexión del token.

Authorization

Si se le emitió un secreto al cliente, debe pasar su client_id y client_secret en el encabezado de la autorización a través de la autorización HTTP client_secret_basic. También puede incluir el client_id y client_secret en el cuerpo de la solicitud como autorización client_secret_post.

La cadena de encabezado de autorización es Basic Base64Encode(client_id:client_secret). El ejemplo siguiente es un encabezado de autorización para el cliente de aplicación djc98u3jiedmi283eu928 con el secreto del cliente abcdef01234567890, en el que se utiliza una versión codificada en Base64 de la cadena djc98u3jiedmi283eu928:abcdef01234567890:

Authorization: Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw
Content-Type

Establezca el valor del parámetro en 'application/x-www-form-urlencoded'.

Parámetros de la solicitud en el cuerpo

A continuación, encontrará algunos parámetros que puede solicitar en formato x-www-form-urlencoded en el cuerpo de la solicitud al punto de conexión del token.

grant_type

Obligatorio.

El tipo de concesión OIDC que desea solicitar.

Debe ser authorization_code, refresh_token o client_credentials. Puede solicitar un token de acceso a un ámbito personalizado desde el punto de conexión del token en las siguientes condiciones:

  • Ha habilitado el ámbito solicitado en la configuración del cliente de aplicación.

  • Ha configurado el cliente de aplicación con un secreto de cliente.

  • Habilita la concesión de credenciales de cliente en el cliente de aplicación.

nota

El punto de conexión del token devuelve un token actualizado solo cuando el grant_type es authorization_code.

client_id

Opcional. No es obligatorio cuando proporciona el ID de cliente de aplicación en el encabezado Authorization.

El ID de un cliente de aplicaciones de su grupo de usuarios. Especifique el mismo cliente de aplicación que ha autenticado a su usuario.

Debe proporcionar este parámetro si el cliente es público y no tiene un secreto o tiene client_secret en la autorización client_secret_post.

client_secret

Opcional. No es obligatorio cuando proporciona el secreto del cliente en el encabezado de la Authorization y cuando el cliente de aplicación no tiene ningún secreto.

El secreto del cliente de aplicación, si este lo tiene, para la autorización client_secret_post.

scope

Opcional.

Puede ser una combinación de cualquier ámbito asociado con el cliente de su aplicación. Amazon Cognito ignora los ámbitos de la solicitud que no están permitidos para el cliente de aplicación solicitado. Si no proporciona este parámetro de solicitud, el servidor de autorización devuelve una reclamación scope de token de acceso con todos los ámbitos de autorización que haya habilitado en la configuración del cliente de aplicación. Puede solicitar cualquiera de los ámbitos permitidos para el cliente de aplicación solicitado: los ámbitos estándar, los ámbitos personalizados de los servidores de recursos y el ámbito de autoservicio del usuario aws.cognito.signin.user.admin.

redirect_uri

Opcional. No es obligatorio para la concesión de credenciales de clientes.

Debe ser la misma redirect_uri que el que se utilizó para obtener authorization_code en /oauth2/authorize.

Debe proporcionar este parámetro si grant_type es authorization_code.

refresh_token

Opcional. Se usa solo cuando el usuario ya tiene un token de actualización y desea obtener un nuevo identificador y un token de acceso.

Para generar nuevos tokens de acceso e identificación para la sesión de un usuario, establezca el valor de refresh_token en un token de actualización válido emitido por el cliente de aplicación solicitado.

Devuelve un nuevo token de actualización con un nuevo ID y un nuevo token de acceso cuando la rotación del token de actualización está activa; de lo contrario, solo devuelve los tokens de ID y acceso. Si el token de acceso original estaba vinculado a un recurso de API, el nuevo token de acceso mantiene la URL de la API solicitada en la reclamación aud.

code

Opcional. Solo es obligatorio en las concesiones de códigos de autorización.

El código de autorización de una concesión de código de autorización. Debe proporcionar este parámetro si la solicitud de autorización incluye un grant_type de authorization_code.

aws_client_metadata

Opcional.

Información que deseas transferir a los flujos de autorización Desencadenador de Lambda anterior a la generación del token internos machine-to-machine (M2M). Su aplicación puede recopilar información contextual sobre la sesión y pasarla a este parámetro. Cuando pasa aws_client_metadata en formato JSON codificado en URL, Amazon Cognito lo incluye en el evento de entrada de la función de Lambda de activación. La versión previa al evento de activación del token o la versión de activación global de Lambda deben estar configuradas para la versión tres o posterior. Si bien Amazon Cognito acepta solicitudes a este punto de conexión en los flujos M2M de códigos de autorización y credenciales de cliente, su grupo de usuarios solo pasa aws_client_metadata al desencadenador Antes de la generación del token desde las solicitudes de credenciales del cliente.

code_verifier

Opcional. Solo es obligatorio si proporcionó los parámetros code_challenge_method y code_challenge en su solicitud de autorización inicial.

El verificador de código generado a partir del cual su solicitud calculó el code_challenge en una solicitud de concesión de código de autorización con PKCE.

Intercambio de un código de autorización para los tokens

La siguiente solicitud genera tokens de ID, acceso y actualización correctamente después de la autenticación con una concesión de código de autorización. La solicitud transmite el secreto del cliente en formato client_secret_basic en el encabezado de Authorization.

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token&
Content-Type='application/x-www-form-urlencoded'&
Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw

grant_type=authorization_code&
client_id=1example23456789&
code=AUTHORIZATION_CODE&
redirect_uri=com.myclientapp://myclient/redirect

La respuesta envía nuevos tokens de ID, acceso y actualización para el usuario, con metadatos adicionales.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJra1example",
    "id_token": "eyJra2example",
    "refresh_token": "eyJj3example",
    "token_type": "Bearer",
    "expires_in": 3600
}

Credenciales de cliente con autorización básica

La siguiente solicitud de una aplicación M2M solicita la concesión de credenciales de cliente. Como las credenciales de cliente requieren un secreto de cliente, la solicitud se autoriza con un encabezado de Authorization derivado del ID y el secreto del cliente de aplicación. La solicitud da como resultado un token de acceso con los dos ámbitos solicitados. La solicitud también incluye metadatos del cliente que proporcionan información sobre la dirección IP y un token emitido al usuario en cuyo nombre se otorga la concesión. Amazon Cognito transfiere los metadatos del cliente al desencadenador de Lambda Antes de la generación del token.

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token >
Content-Type='application/x-www-form-urlencoded'&
Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw

grant_type=client_credentials&
client_id=1example23456789&
scope=resourceServerIdentifier1%2Fscope1%20resourceServerIdentifier2%2Fscope2&
&aws_client_metadata=%7B%22onBehalfOfToken%22%3A%22eyJra789ghiEXAMPLE%22,%20%22ClientIpAddress%22%3A%22192.0.2.252%22%7D

Amazon Cognito transfiere los metadatos del cliente al desencadenador de Lambda Antes de la generación del token.

{
    version: '3',
    triggerSource: 'TokenGeneration_ClientCredentials',
    region: 'us-east-1',
    userPoolId: 'us-east-1_EXAMPLE',
    userName: 'ClientCredentials',
    callerContext: {
        awsSdkVersion: 'aws-sdk-unknown-unknown',
        clientId: '1example23456789'
    },
    request: {
        userAttributes: {},
        groupConfiguration: null,
        scopes: [
           'resourceServerIdentifier1/scope1',
           'resourceServerIdentifier2/scope2'
        ],
        clientMetadata: {
            'onBehalfOfToken': 'eyJra789ghiEXAMPLE',
            'ClientIpAddress': '192.0.2.252'
        }
    },
    response: { claimsAndScopeOverrideDetails: null }
}

La respuesta devuelve un token de acceso. Las credenciales de los clientes se conceden para la autorización machine-to-machine (M2M) y solo devuelven los tokens de acceso.

HTTP/1.1 200 OK
Content-Type: application/json
{
    "access_token": "eyJra1example",
    "token_type": "Bearer",
    "expires_in": 3600
}

Credenciales de cliente con autorización en el cuerpo POST

La siguiente solicitud de concesión de credenciales de cliente incluye el parámetro client_secret en el cuerpo de la solicitud y no incluye un encabezado de Authorization. Esta solicitud usa la sintaxis de autorización client_secret_post. La solicitud da como resultado un token de acceso con el ámbito solicitado. La solicitud también incluye metadatos del cliente que proporcionan información sobre la dirección IP y un token emitido al usuario en cuyo nombre se otorga la concesión. Amazon Cognito transfiere los metadatos del cliente al desencadenador de Lambda Antes de la generación del token.

POST /oauth2/token HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Amz-Target: AWSCognitoIdentityProviderService.Client credentials request
User-Agent: USER_AGENT
Accept: /
Accept-Encoding: gzip, deflate, br
Content-Length: 177
Referer: http://auth.example.com/oauth2/token
Host: auth.example.com
Connection: keep-alive

grant_type=client_credentials&
client_id=1example23456789&
scope=my_resource_server_identifier%2Fmy_custom_scope&
client_secret=9example87654321&
aws_client_metadata=%7B%22onBehalfOfToken%22%3A%22eyJra789ghiEXAMPLE%22,%20%22ClientIpAddress%22%3A%22192.0.2.252%22%7D

Amazon Cognito transfiere los metadatos del cliente al desencadenador de Lambda Antes de la generación del token.

{
    version: '3',
    triggerSource: 'TokenGeneration_ClientCredentials',
    region: 'us-east-1',
    userPoolId: 'us-east-1_EXAMPLE',
    userName: 'ClientCredentials',
    callerContext: {
        awsSdkVersion: 'aws-sdk-unknown-unknown',
        clientId: '1example23456789'
    },
    request: {
        userAttributes: {},
        groupConfiguration: null,
        scopes: [
           'resourceServerIdentifier1/my_custom_scope'
        ],
        clientMetadata: {
            'onBehalfOfToken': 'eyJra789ghiEXAMPLE',
            'ClientIpAddress': '192.0.2.252'
        }
    },
    response: { claimsAndScopeOverrideDetails: null }
}

La respuesta devuelve un token de acceso. Las concesiones de credenciales de cliente son para la autorización machine-to-machine (M2M) y solo devuelven los tokens de acceso.

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Date: Tue, 05 Dec 2023 16:11:11 GMT
x-amz-cognito-request-id: 829f4fe2-a1ee-476e-b834-5cd85c03373b

{
    "access_token": "eyJra12345EXAMPLE",
    "expires_in": 3600,
    "token_type": "Bearer"
}

Concesión de código de autorización con PKCE

El siguiente ejemplo de solicitud realiza una solicitud de autorización que incluye los parámetros code_challenge_method y code_challenge en una solicitud de concesión de código de autorización con PKCE.

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token
Content-Type='application/x-www-form-urlencoded'&
Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw

grant_type=authorization_code&
client_id=1example23456789&
code=AUTHORIZATION_CODE&
code_verifier=CODE_VERIFIER&
redirect_uri=com.myclientapp://myclient/redirect

La respuesta devuelve tokens de ID, acceso y actualización desde la verificación correcta de PKCE realizada por la aplicación.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJra1example",
    "id_token": "eyJra2example",
    "refresh_token": "eyJj3example",
    "token_type": "Bearer",
    "expires_in": 3600
}

Actualización de tokens sin rotación de tokens de actualización

El siguiente ejemplo de solicitudes proporciona un token de actualización a un cliente de aplicación donde la rotación del token de actualización está inactiva. Como el cliente de aplicación tiene un secreto de cliente, la solicitud proporciona un encabezado de Authorization.

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token >
Content-Type='application/x-www-form-urlencoded'&
Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw

grant_type=refresh_token&
client_id=1example23456789&
refresh_token=eyJj3example

La respuesta devuelve nuevos tokens de acceso e ID.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJra1example",
    "id_token": "eyJra2example",
    "token_type": "Bearer",
    "expires_in": 3600
}

Actualización de tokens con rotación de tokens de actualización

El siguiente ejemplo de solicitudes proporciona un token de actualización a un cliente de aplicación donde la rotación del token de actualización está activa. Como el cliente de aplicación tiene un secreto de cliente, la solicitud proporciona un encabezado de Authorization.

POST https://mydomain.auth.us-east-1.amazoncognito.com/oauth2/token >
Content-Type='application/x-www-form-urlencoded'&
Authorization=Basic ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw

grant_type=refresh_token&
client_id=1example23456789&
refresh_token=eyJj3example

La respuesta devuelve nuevos tokens de acceso, ID y actualización.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJra1example",
    "id_token": "eyJra2example",
    "refresh_token": "eyJj4example",
    "token_type": "Bearer",
    "expires_in": 3600
}

Ejemplos de respuestas negativas

Las solicitudes con un formato incorrecto generan errores en el punto de conexión del token. A continuación, encontrará un mapa general del cuerpo de la respuesta cuando las solicitudes de token generan un error.

HTTP/1.1 400 Bad Request
Content-Type: application/json;charset=UTF-8

{
"error":"invalid_request|invalid_client|invalid_grant|unauthorized_client|unsupported_grant_type"
}
invalid_request

Falta un parámetro necesario en la solicitud, la solicitud incluye un valor de parámetro no admitido (distinto de unsupported_grant_type) o la solicitud tiene un formato incorrecto. Por ejemplo, grant_type es refresh_token pero refresh_token no está incluido.

invalid_client

Error de autenticación del cliente. Por ejemplo, cuando el cliente incluye client_id y client_secret en el encabezado de la autorización, pero no existe un cliente con esos client_id y client_secret.

invalid_grant

El token de actualización se ha revocado.

El código de autorización ya se ha utilizado o no existe.

El cliente de la aplicación no tiene acceso de lectura a todos los atributos en el ámbito solicitado. Por ejemplo, su aplicación solicita el ámbito email y su cliente de aplicación puede leer el atributo email, pero no email_verified.

unauthorized_client

El cliente no tiene permiso para el flujo de concesión de códigos o para la actualización de tokens.

unsupported_grant_type

Se devuelve si grant_type es distinto de authorization_code, refresh_token o client_credentials.