Comment révoquer des jetons JWT dans Amazon Cognito à l'aide de l'AWS CLI ?
Je souhaite révoquer les jetons Web JSON (JWTs) émis dans un groupe d'utilisateurs Amazon Cognito.
Brève description
Les jetons d'actualisation d'Amazon Cognito expirent 30 jours après qu'un utilisateur se soit connecté à un groupe d'utilisateurs. Vous pouvez définir l'expiration du jeton d'actualisation du client d'application entre 60 minutes et 10 ans. Pour plus d'informations, veuillez consulter la section Utilisation du jeton d’actualisation.
Vous pouvez également révoquer les jetons d'actualisation en temps réel. Ainsi, les jetons d'actualisation ne peuvent pas générer de jetons d'accès supplémentaires. Aucun des jetons d'accès précédemment émis par le jeton d'actualisation n'est valide.
Lorsque vous révoquez des jetons d'actualisation, cela n'a aucun effet sur les autres jetons d'actualisation associés à des sessions utilisateur parallèles.
Solution
Afin de révoquer un jeton JWT, reportez-vous aux instructions correspondant à votre client d'application.
Remarque :
- Si vous recevez des erreurs lors de l'exécution de commandes depuis la Command Line Interface AWS (AWS CLI ), veillez à utiliser la version la plus récente de l’interface de ligne de commande AWS.
- Les clients d'application pour groupe d'utilisateurs Amazon Cognito peuvent disposer d'un secret facultatif pour l'application. Pour plus d'informations, consultez Configuration d'un client d'application pour groupe d'utilisateurs.
- Remplacez us-east-1 par votre région AWS, et user-pool-id, client-id, username, email, tokens, secretet password par vos variables.
Client d'application sans secret
Exécutez la commande de l'AWS CLI admin-initiate-auth (français non garanti) pour lancer le flux d'authentification en tant qu'administrateur et obtenir l'ID, le jeton d'accès et le jeton d'actualisation :
$ aws --region us-east-1 cognito-idp admin-initiate-auth --user-pool-id us-east-1_123456789 --client-id your-client-id --auth-parameters USERNAME=user-name,PASSWORD=your-password --auth-flow ADMIN_NO_SRP_AUTH
Vous recevez une sortie similaire à ce qui suit :
{ "ChallengeParameters": {}, "AuthenticationResult": { "AccessToken": "eyJra....", "ExpiresIn": 3600, "TokenType": "Bearer", "RefreshToken": "ey.._9Dg", "IdToken": "ey..DU-Q" } }
Exécutez la commande <t1>revoke-token</t1> de l'interface de ligne de commande AWS (AWS CLI) pour révoquer le jeton d'actualisation comme suit :
$ aws --region us-east-1 cognito-idp revoke-token --client-id your-client-id --token eyJra....
Remarque : vous ne recevez pas de sortie.
Effectuez un test avec le même jeton d'actualisation pour obtenir de nouveaux jeton d'accès et ID :
$ aws --region us-east-1 cognito-idp admin-initiate-auth --user-pool-id us-east-1_123456789 --client-id your-client-id --auth-parameters REFRESH_TOKEN=eyJra....tw --auth-flow REFRESH_TOKEN_AUTH
La sortie indiquera que les jetons d'actualisation ont été révoqués comme suit :
Error: An error occurred (NotAuthorizedException) when calling the AdminInitiateAuth operation: Refresh Token has been revoked
Client d'application avec un secret
Suivez les instructions pour créer une valeur SecretHash à l'aide d'un script Python.
Exécutez la commande de l'AWS CLI admin-initiate-auth pour lancer le flux d'authentification en tant qu'administrateur. Cela vous donne l'ID, le jeton d'accès et le jeton d'actualisation. Cette commande ressemble à ce qui suit :
$ aws --region us-east-1 cognito-idp admin-initiate-auth --user-pool-id us-east-1_123456789 --client-id your-client-id --auth-parameters USERNAME=user-name,PASSWORD=your-password,SECRET_HASH=IkVyH...= --auth-flow ADMIN_NO_SRP_AUTH
Vous recevez une sortie similaire à ce qui suit :
{ "ChallengeParameters": {}, "AuthenticationResult": { "AccessToken": "eyJra....", "ExpiresIn": 3600, "TokenType": "Bearer", "RefreshToken": "eyJjd....", "IdToken": "ey..YQSA" } }
Exécutez la commande de l'AWS CLI revoke-token pour révoquer le jeton d'actualisation :
$ aws --region us-east-1 cognito-idp revoke-token --client-id your-client-id --token eyJjd... --client-secret 1n00....
Exécutez un test en utilisant le même jeton d'actualisation pour obtenir un nouveau jeton d'accès ainsi qu'un nouvel ID :
$ aws --region us-east-1 cognito-idp admin-initiate-auth --user-pool-id us-east-1_123456789 --client-id your-client-id --auth-parameters REFRESH_TOKEN=eyJjdH.... --auth-flow REFRESH_TOKEN_AUTH
Vous recevez une sortie indiquant que les jetons d'actualisation sont révoqués :
Error: An error occurred (NotAuthorizedException) when calling the AdminInitiateAuth operation: Refresh Token has been revoked
Nouvelles demandes ajoutées
Deux nouvelles demandes, origin_jti et jti, sont ajoutées dans le jeton d'accès et ID, ce qui augmente la taille des jetons dans le client d'application.
La demande jti fournit un identifiant unique pour le JWT. La valeur d'identificateur doit être affectée de sorte que la même valeur ne puisse pas être attribuée à un autre objet de données. Si le client d'application utilise plusieurs émetteurs, évitez les collisions en utilisant différentes valeurs.
Remarque : la demande jti est facultative. Pour plus d'informations, veuillez consulter la section RFC-7519) (français non garanti) sur le site Web de l'Internet Engineering Task Force.
Informations connexes
Vérification d'un jeton web JSON
Révocation de jetons d'actualisation
<t1>Quelle est la marche à suivre pour décoder et vérifier la signature d'un jeton JWT (JSON Web Token) Amazon Cognito ?</t1>
Contenus pertinents
- demandé il y a 10 mois
- demandé il y a 6 jours
- demandé il y a 7 mois
- demandé il y a 9 mois
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an