gpt4 book ai didi

authorization - Cognito - 没有 key 的授权码授予

转载 作者:行者123 更新时间:2023-12-05 04:50:18 24 4
gpt4 key购买 nike

我有一个前端应用程序,我想连接到 Cognito 用户池

我正在使用 openidconnect playground测试身份验证流程,这是我的 Cognito 配置:

enter image description here

我没有放置客户端密码,因为我认为将客户端密码放在前端 URL 中是不安全的。

这是应用客户端设置:

enter image description here

由于其余部分需要客户端密码,因此使用授权码授予。

所以,这是进行登录的 URL:

https://myuserpoolname.auth.eu-west-1.amazoncognito.com/oauth2/authorize?
client_id=YYYYYYYYY
&redirect_uri= https://openidconnect.net/callback
&scope=openid customscope/router customscope/modem
&response_type=code
&state=2282ed48ec2fc0eb0806a532f2eQQf02d0918949

之后,为了让交易所获得 token ,我使用了这个请求:

POST https://myuserpoolname.auth.eu-west-1.amazoncognito.com/oauth2/token
grant_type=authorization_code
&client_id=YYYYYYYYY
&redirect_uri=https://openidconnect.net/callback
&code=bd105ab3-Z-X-Y-6109170d1e46

但如果我不将 client_secret 作为参数共享,则会返回错误。

如果没有客户端 key ,我如何进行身份验证过程?那可能吗?如果不是,我如何管理客户端密码以避免在前端应用程序中管理它?

谢谢。

最佳答案

在公共(public)客户端上使用授权码授权类型时,您应该使用PKCE .

关于authorization - Cognito - 没有 key 的授权码授予,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67344334/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com