¿Cuál es la diferencia entre el punto de conexión de cierre de sesión y la API GlobalSignOut en Amazon Cognito?

Descripción breve

El punto de conexión de cierre de sesión de Amazon Cognito borra la sesión de un usuario de un navegador. La API GlobalSignOut invalida todos los tokens de acceso y actualización que se emiten para un usuario específico.

Resolución

Cierre de sesión de los usuarios con el punto de conexión de cierre de sesión

Cuando utiliza un punto de conexión alojado para la autenticación de usuarios, Amazon Cognito almacena una cookie llamada “cognito” en el navegador. La cookie está asociada al dominio de Amazon Cognito que está configurado con el grupo de usuarios. La cookie es válida durante 1 hora. Cuando un usuario intenta iniciar sesión de nuevo durante una sesión activa, Amazon Cognito le pregunta si desea continuar con la sesión actual. Esto permite al usuario iniciar sesión sin proporcionar credenciales. Si el usuario elige el botón Sign in as example_username (Iniciar sesión como usuario_ejemplo) para usar una sesión existente, la validez de la cookie se restablece a 1 hora.

Cuando un usuario visita el punto de conexión de cierre de sesión en su navegador, Amazon Cognito borra la cookie de sesión. El usuario debe proporcionar sus credenciales para volver a iniciar sesión.

Cuando un usuario inicia sesión con proveedores de identidades (IdP) de terceros, se tiene que llevar a cabo un paso adicional. Si un usuario inicia sesión con uno de los IdP de terceros, visitar el punto de conexión de cierre de sesión borra la cookie “cognito” del navegador. Sin embargo, el IdP aún puede tener una sesión activa. Tenga en cuenta la siguiente información al borrar la sesión de IdP del usuario:

• Amazon Cognito admite la característica de cierre de sesión único (SLO) para IdP de la versión 2.0 de Security Assertion Markup Language (SAML, lenguaje de marcado de aserción de seguridad 2.0) con enlace HTTP POST. Si su proveedor acepta el enlace HTTP POST en su punto de conexión de SLO, considere la posibilidad de implementar el SLO para los IdP de SAML. Si un usuario visita el punto de conexión de cierre de sesión con el SLO activado, Amazon Cognito envía una solicitud de cierre de sesión firmada al IdP de SAML. A continuación, el IdP de SAML borra la sesión del IdP.
• Para los IdP sociales y de OpenID Connect (OIDC), debe crear un flujo de trabajo personalizado para borrar la sesión del IdP del navegador.

Cierre de la sesión de los usuarios con la API GlobalSignOut

Cuando utiliza la API GlobalSignOut, Amazon Cognito revoca todo el acceso y actualiza los tokens que se emiten para un usuario. Tenga en cuenta que solo Amazon Cognito recibe información sobre la revocación del token. Es posible que la aplicación continúe aceptando tokens hasta que caduquen.

La aplicación puede usar las API GlobalSignOut y AdminUserGlobalSignOut para cerrar la sesión de los usuarios de forma global. Cuando la aplicación usa API de REST para la autenticación de usuarios de Amazon Cognito, debe usar estas API para cerrar la sesión de los usuarios.

Cuando la aplicación intenta usar un token revocado, Amazon Cognito genera un error que indica que ha revocado el token de actualización. El usuario debe volver a iniciar sesión para obtener un nuevo conjunto de JSON Web Tokens (JWT).

Puede configurar el tiempo de caducidad de los tokens de ID y acceso en el cliente de la aplicación del grupo de usuarios. Puede cambiar el tiempo de caducidad a un valor comprendido entre 5 minutos y 24 horas.