Amazon Cognito 现在支持资源标识符功能，以简化对 OAuth 2.0 资源的增强保护

发布于: 2025年10月27日

Amazon Cognito 现支持应用程序客户端在请求访问令牌时指定资源标识符，该功能适用于其 OAuth 2.0 授权代码许可与隐式授权流程。资源标识符用于标识受保护的资源，例如用户的银行账户记录或文件服务器中用户需要访问的特定文件。对客户端进行身份验证后，Cognito 随后会针对该特定资源签发访问令牌。这可确保访问令牌的权限范围能从宽泛的服务级访问限定至特定的独立资源级别。

该功能可更便捷地保护用户需要访问的资源。例如，代理（即应用客户端的一种）可以代表用户请求访问令牌，以访问特定受保护的资源，例如用户的银行记录。验证通过后，Amazon Cognito 将签发访问令牌，并将其受众声明设为该特定资源。以前，客户必须使用非标准的声明或范围，才能让 Cognito 推断并签发针对特定资源的访问令牌。现在，客户可以使用基于标准的资源参数，以简单一致的方式指定目标资源。

Amazon Cognito 的此项功能现面向使用 Essentials 或 Plus 套餐的托管式登录客户开放，适用于所有已部署 Cognito 服务的 AWS 区域（包括 AWS GovCloud（美国）区域）。要了解更多信息，请参阅开发人员指南以及 Cognito Essentials 和 Plus 套餐的定价信息。