Qual è la differenza tra l'endpoint logout e l'API GlobalSignOut in Amazon Cognito?

Breve descrizione

L'endpoint logout di Amazon Cognito cancella una sessione utente da un browser. L'API GlobalSignOut invalida tutti i token di accesso e aggiornamento rilasciati a un utente specifico.

Risoluzione

Disconnessione degli utenti con l'endpoint logout

Quando utilizzi un endpoint ospitato per l'autenticazione degli utenti, Amazon Cognito memorizza un cookie denominato "cognito" nel tuo browser. Il cookie è associato al dominio di Amazon Cognito configurato con il pool di utenti. Il cookie è valido per 1 ora. Quando un utente tenta di accedere nuovamente durante una sessione attiva, Amazon Cognito chiede se desidera continuare quella esistente. Ciò consente all'utente di accedere senza fornire credenziali. Se un utente sceglie il pulsante Sign in as example_username (Accedi come example_username) per utilizzare una sessione esistente, la validità del cookie viene ripristinata a 1 ora.

Quando un utente visita l'endpoint logout nel browser, Amazon Cognito cancella il cookie della sessione. L'utente deve fornire le proprie credenziali per accedere nuovamente.

Quando un utente accede con il gestore dell'identità digitale (IdP) di terze parti, deve eseguire un passaggio aggiuntivo. Se un utente accede utilizzando uno degli IdP di terze parti, la visita all'endpoint logout cancella il cookie "cognito" dal browser. Tuttavia, l'IdP può ancora avere una sessione attiva. Considera le seguenti informazioni quando cancelli la sessione IdP dell'utente:

• Amazon Cognito supporta la funzionalità di disconnessione singola (SLO) per gli IdP Security Assertion Markup Language versione 2.0 (SAML 2.0) con il binding HTTP POST. Se il tuo provider accetta il binding HTTP POST sul suo endpoint SLO, valuta l'implementazione dell'SLO per gli IdP SAML. Se un utente visita l'endpoint logout con SLO attivato, Amazon Cognito invia una richiesta di disconnessione firmata all'IdP SAML. Quindi, l'IdP SAML cancella la sessione dell'IdP.
• Per gli IdP social e OpenID Connect (OIDC), devi creare un flusso di lavoro personalizzato per cancellare la sessione IdP dal browser.

Disconnessione degli utenti con l'API GlobalSignOut

Quando usi l'API GlobalSignOut, Amazon Cognito revoca tutti i token di accesso e aggiornamento rilasciati a un utente. Solo Amazon Cognito viene informato della revoca del token. La tua applicazione potrebbe continuare ad accettare i token fino alla loro scadenza.

L'applicazione può utilizzare sia le API GlobalSignOut che AdminUserGlobalSignOut per disconnettere gli utenti a livello globale. Quando l'applicazione utilizza le REST API per l'autenticazione degli utenti di Amazon Cognito, devi utilizzare queste API per disconnetterli.

Quando l'applicazione tenta di utilizzare un token revocato, Amazon Cognito genera un errore che indica che hai revocato il token di aggiornamento. L'utente deve accedere nuovamente per ottenere un nuovo set di token JSON Web (JWT).

Puoi configurare la data di scadenza dei token di accesso e ID nel client dell'app del pool di utenti. Puoi modificare il tempo di scadenza in un valore compreso tra 5 minuti e 24 ore.