Amazon Cognito ahora admite la rotación de tokens de actualización
Amazon Cognito anuncia la compatibilidad con la rotación de tokens de actualización de OAuth 2.0 para los clientes de grupos de usuarios. Los tokens de actualización tienen una larga duración y permiten que las aplicaciones obtengan nuevos tokens de acceso sin necesidad de que los usuarios vuelvan a iniciar sesión. Con la rotación de tokens de actualización, ahora puede configurar los clientes de su grupo de usuarios para reemplazar automáticamente los tokens de actualización existentes por otros nuevos a intervalos regulares, lo que a su vez puede reforzar la postura de seguridad de su aplicación. En lugar de depender con anterioridad en tokens que siguen siendo válidos durante largos períodos, la rotación de los tokens de actualización reduce el período en los que podría usarse un token de actualización comprometido. Además, el token de actualización rota automáticamente en segundo plano. Esto permite que los usuarios mantengan un acceso ininterrumpido sin necesidad de volver a autenticarse.
En ausencia de una rotación de tokens de actualización, los clientes antes tenían que elegir entre tokens de larga duración para minimizar la fricción de los usuarios causada por la reautenticación o tokens de corta duración para protegerse mejor contra los riesgos derivados de los tokens comprometidos. Ahora, con la rotación de los tokens de actualización, los clientes pueden lograr una experiencia de usuario perfecta y, al mismo tiempo, reforzar la postura de seguridad de sus aplicaciones renovando automáticamente los tokens de actualización de los usuarios. Por ejemplo, en una aplicación de colaboración, mientras los usuarios permanecen conectados durante su sesión de 30 días, sus tokens de actualización se pueden renovar cada unas horas al cambiarlos por nuevos tokens de acceso e ID, lo que limita la ventana de exposición de cualquier token individual.
Esta característica está disponible para los clientes de Amazon Cognito que utilizan los niveles Essentials o Plus en las regiones de AWS en las que Cognito está disponible, incluidas las regiones de AWS GovCloud (EE. UU.). Para obtener más información, consulte la Guía para desarrolladores de Cognito Refresh Token.