Oauth 2.0 如何从AWS Cognito响应返回广告组?
我使用的是第三方提供商PingIdentity,它与我的公司广告组绑定在一起。PingIdentity已配置为发送与正在登录的用户关联的广告组。在AWS方面,我使用Cognito用户池,并添加了PingIdentity作为oauth提供者 从身份验证的角度来看,一切都很好,问题是——我试图获得相应的广告组,但当我点击Cognito的端点时: /oauth2/token oauth2/userInfo 我没有看到PingIndentity发回的任何广告组。此外,我还检查了用户的id_令牌,当我解析它时,它不包括在JWT令牌中 Cognito似乎在其端进行身份验证,然后在每次调用端点时生成自己的JWT令牌和userinfo响应Oauth 2.0 如何从AWS Cognito响应返回广告组?,oauth-2.0,active-directory,amazon-cognito,pingfederate,aws-userpools,Oauth 2.0,Active Directory,Amazon Cognito,Pingfederate,Aws Userpools,我使用的是第三方提供商PingIdentity,它与我的公司广告组绑定在一起。PingIdentity已配置为发送与正在登录的用户关联的广告组。在AWS方面,我使用Cognito用户池,并添加了PingIdentity作为oauth提供者 从身份验证的角度来看,一切都很好,问题是——我试图获得相应的广告组,但当我点击Cognito的端点时: /oauth2/token oauth2/userInfo 我没有看到PingIndentity发回的任何广告组。此外,我还检查了用户的id_令牌,当我解析
在使用Cognito时,有没有办法通过广告组?我认为Cognito是不可能的,因为它也不支持访问令牌中的自定义声明 一种选择是按照以下步骤进行,这就是我将如何解决您的问题:
- 开发一个小用户服务,可以返回给定用户id或电子邮件的广告组
- 将对用户服务的调用集成到API的令牌验证中
- 缓存具有相同令牌的后续调用的结果
此模式的主要优点是可扩展性,而不依赖于特殊的授权服务器功能。它还保持令牌的小型化和机密性。我认为Cognito不可能做到这一点,因为Cognito也不支持访问令牌中的自定义声明 一种选择是按照以下步骤进行,这就是我将如何解决您的问题:
- 开发一个小用户服务,可以返回给定用户id或电子邮件的广告组
- 将对用户服务的调用集成到API的令牌验证中
- 缓存具有相同令牌的后续调用的结果