Amazon web services 单一的AWS Cognito区域（例如美国西部2）是否适合服务于加拿大、美国和波多黎各？

我正在考虑我的托管登录服务选项，AWS Cognito看起来很有希望

---

我注意到它的用户池等目前没有跨区域复制。我想确认一个地区就足够了，例如，对于一个用户分布在加拿大、美国和波多黎各的应用程序来说，美国西部（或东部）就足够了。

一般来说，不仅仅是Cognito，用户在托管服务的数据中心的距离越近越好。只有这样，您才能最大限度地减少客户机和托管服务的数据中心之间的传播延迟

因此，如果您必须选择一个地区，请选择您的大多数客户更接近的地区

AWS Cognito目前不跨区域复制用户池。因此，如果要对该用户池使用AccessToken，则需要转到该用户池所在的区域

---

现在，所有其他接受accessTokens的服务都将在AWS内部、AWS外部的任何区域接受您的令牌

我将这个补充细节添加到问题中，作为Cognito返回的标记类型的参考。正如我刚刚通过谷歌搜索上面答案中的一些信息发现的那样

对userPool使用AccessToken可以完成更新用户帐户信息等操作。由于池不被复制，因此需要使用池所在的区域

ID令牌

ID令牌表示为JSON Web密钥令牌（JWT）。令牌包含关于已验证用户身份的声明。例如，它包括诸如姓名、姓氏、电话号码等声明。有关标准声明的更多信息，请参阅OpenID Connect规范。客户端应用程序可以在应用程序内使用此身份信息。ID令牌还可用于根据资源服务器或服务器应用程序对用户进行身份验证。当在应用程序外部针对web API使用ID令牌时，必须先验证ID令牌的签名，然后才能信任ID令牌内的任何声明

ID令牌在用户身份验证后一小时过期。您不应该在客户端或web API中处理过期的ID令牌

访问令牌

访问令牌也表示为JSON Web密钥令牌（JWT）。它包含关于经过身份验证的用户的声明，但与ID令牌不同，它不包括用户的所有身份信息。访问令牌的主要用途是授权用户池中用户上下文中的操作。例如，您可以对AmazonCognito标识使用访问令牌来更新或删除用户属性。访问令牌还可以与任何web API一起使用，以在用户上下文中做出访问控制决策和授权操作。与ID令牌一样，您必须首先在web API中验证访问令牌的签名，然后才能信任访问令牌中的任何声明

访问令牌在用户身份验证后一小时过期。过期后不应处理它

刷新令牌

刷新令牌只能用于AmazonCognito检索新的访问或ID令牌

默认情况下，刷新令牌在用户身份验证后30天过期。为用户池创建应用程序时，可以将应用程序的刷新令牌过期时间（天）设置为1到3650之间的任意值

---

是的，这是有道理的，但用户可以移动。飞机、汽车、火车等，虽然它们今天可能接近一种资源，但明天可能不会。在幕后，我们可以使用一些应用程序逻辑将用户固定到一个可以工作的Cognito区域。Cognito提供的访问令牌是否跨区域工作？如果是基于IAM的，这是全球性的，我的假设是肯定的，他们跨地区工作，但我没有看到具体的确认。我修改了我的答复，以解决您的评论谢谢澄清！我想补充一点，我和一位AWS解决方案架构师谈过，他们确认一个地区对我们、加拿大和波多黎各来说足够了。此外，根据您的延迟要求，它可能适用于全球。在这样做之前，您需要确保延迟对于您的用例是可接受的。例如，美国西部到德国的距离可能为100-200米。如果可以的话，你可以走了。这适用于Cognito同步和登录。