Amazon web services 如何使用aws cognito response_代码表单saml redirect从cognito获取用户信息？_Amazon Web Services_Amazon Cognito_Saml

Amazon web services 如何使用aws cognito response_代码表单saml redirect从cognito获取用户信息？

amazon-web-services

Amazon web services 如何使用aws cognito response_代码表单saml redirect从cognito获取用户信息？,amazon-web-services,amazon-cognito,saml,Amazon Web Services,Amazon Cognito,Saml,如何使用从SAML idp和aws cognito返回的代码从cognito检索用户信息 SP使用的原始链接是 https://some-subdomain.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=some-client-id&redirect_uri=https://some-api-gateway-subdomain.execute-api.us-east-1.amazonaws.

如何使用从SAML idp和aws cognito返回的代码从cognito检索用户信息

SP使用的原始链接是

https://some-subdomain.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=some-client-id&redirect_uri=https://some-api-gateway-subdomain.execute-api.us-east-1.amazonaws.com/dev/api/v1/some-endpoint

然后ipd进行身份验证，然后重定向到sp

 https://some-api-gateway-subdomain.execute-api.us-east-1.amazonaws.com/dev/api/v1/some-endpoint?code=12345

如何使用12345从cogito获取用户信息

我看到我能击中目标

https://some-subdomain.auth.us-east-1.amazoncognito.com/oauth2/token

获取令牌。我没有设置应用程序机密，因此需要根据（我意识到这是针对oauth的，但没有发现任何文档讨论如何专门用于saml交互的响应代码。）

但是，当我尝试获取令牌时，通过传递grant\u类型、client\u id、code、redirect\u uri，我得到

{
    "error": "unauthorized_client"
}

如果我能够获得令牌，那么我就可以使用令牌进行攻击

从cogito获取用户信息。

问题在于获取令牌的重定向url与saml身份验证的重定向不同。一旦我做了同样的事情，一切都正常了。

问题是获取令牌的重定向url与saml身份验证的重定向不一样。一旦我做了同样的事情，一切都正常了

https://some-subdomain.auth.us-east-1.amazoncognito.com/oauth2/userInfo