AWS Cognito OIDC 自定义

Question

https://consumerdatastandardsaustralia.github.io/standards/#security-profile

我正在尝试将 AWS Cognito 设置为 OIDC 提供商。能够创建用户池，但需要大量自定义数据。例如 Cognito 的“.well-known/openid-configuration”返回的细节很少，但缺少 introspection_endpoint、revocation_endpoint、claims_supported 等。

类似地，需要使用附加声明自定义 /authorize 端点。

任何帮助或建议都会非常有帮助。

问候和感谢

Answer 1

可以使用 lambda 对声明进行某种程度的自定义：https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-token-generation.html

introspection_endpoint 和 revocation_endpoint 不是核心 oauth，而是扩展。我发现 Cognito 通常不会实现扩展，oauth2 核心的很多部分也没有实现。

Cognito 缺少许多您可能希望开箱即用的功能，当您指出缺少标准功能时，有一个看似庞大且不透明的积压支持不断参考。

• 托管 UI 中没有静默刷新功能，因此没有安全的方式来存储刷新令牌。
• 不支持托管 UI 中的自定义身份验证流程
• 托管 UI 中不支持无密码
• 无法在托管 UI 中预填充字段（例如用户名）
• 无法在自定义 UI 中自定义过多晦涩的错误消息
• 现在已修复，但多年来电子邮件地址都区分大小写！

如果您选择不使用托管 UI，则无法获得任何 oauth 范围。

您可以使用许多非 oauth cognito idp 调用来使用访问令牌：https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cognito-idp/index.html

如果这些不符合您的需求，我建议您考虑其他身份验证服务，或者如果您选择继续使用 Cognito，请调整您的期望。祝你好运！