Amazon Cognito のアイコン

Amazon Cognito 热门2014年〜

为 Web 和移动应用程序提供认证、授权和用户管理的服务

阅读约需 1 分钟

它能做什么

Amazon Cognito 是一项为 Web 和移动应用程序提供用户注册、登录和访问控制功能的服务。用户池(User Pool)管理用户目录和认证流程,身份池(Identity Pool)为认证后的用户提供临时 AWS 凭证。支持社交登录(Google、Facebook、Apple)和企业 SAML/OIDC 联合认证。

使用场景

用于 Web 应用和移动应用的用户注册/登录功能实现、社交登录集成、多因素认证(MFA)的添加、从前端应用安全访问 AWS 资源(S3、DynamoDB 等)、企业单点登录(SSO)的实现等。

日常类比

可以将其比作大楼的门禁系统。用户池就像发放门禁卡(账户)和验证身份的前台。身份池就像根据门禁卡的权限级别决定可以进入哪些楼层(AWS 资源)的电梯控制系统。还支持用其他大楼的门禁卡(社交登录)进入。

什么是 Cognito

Amazon Cognito 是一项为应用程序添加认证和授权功能的服务。从零开始构建用户管理系统需要处理密码哈希、令牌管理、MFA 等复杂的安全要求。Cognito 将这些作为托管服务提供,开发者可以专注于应用程序的业务逻辑。

用户池与身份池

用户池是管理用户注册、登录和个人资料的用户目录。提供邮箱/密码认证、MFA、密码策略、邮箱验证等功能。身份池为通过用户池或社交提供者认证的用户发放临时 AWS 凭证。通过 IAM 角色控制可以访问哪些 AWS 资源。两者可以组合使用,也可以单独使用。

社交登录与联合认证

Cognito 支持 Google、Facebook、Apple、Amazon 等社交身份提供者的登录。还支持企业 SAML 2.0 和 OpenID Connect 提供者的联合认证。用户可以使用现有账户登录,无需创建新账户,降低注册门槛。 关于社交登录与联合认证的实现方法,也可以参考相关书籍(Amazon)

开始使用

在 Cognito 控制台中创建用户池,配置登录选项(邮箱/用户名)和安全设置(密码策略、MFA)。创建应用客户端并获取客户端 ID。在前端应用中使用 Amplify 库或 AWS SDK 集成登录界面。Cognito 还提供预构建的托管 UI,无需自行开发登录页面即可快速集成。

注意事项

  • 用户池的前 50,000 个月活跃用户免费(不含高级安全功能),适合中小规模应用
  • 托管 UI 的自定义程度有限,如需完全自定义登录界面请使用 SDK 自行实现
  • 用户池创建后部分设置(如用户名属性)无法更改,请在创建前仔细规划
共有するXB!

相关服务

AWS IAM 图标AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务AWS Amplify 图标AWS Amplify提供全栈 Web 和移动应用程序构建与托管的服务Amazon API Gateway 图标Amazon API Gateway轻松创建、发布、管理和监控 API 的全托管服务AWS Lambda 图标AWS Lambda无需管理服务器即可运行代码的无服务器计算服务

相关文章

使用 AWS Amplify 开始全栈 Web 应用开发 - Git 联动部署与后端构建通过 GitHub 联动构建按分支自动部署的环境,使用 Backend Gen 2 以 TypeScript 定义认证、API 和存储。同时支持 Next.js 的 SSR。Amazon API Gateway 设计模式 - REST API 与 HTTP API 的选型标准明确 HTTP API 与 REST API 的选型标准,介绍 Cognito 和 Lambda Authorizer 的认证模式以及限流设计的实践方法。使用 AWS AppSync 构建实时 GraphQL API - 订阅与解析器设计通过基于 WebSocket 的订阅实现实时通知,介绍使用 DynamoDB 和 Lambda 管道解析器整合多数据源的设计模式。使用 AWS AppSync Merged API 整合微服务的 GraphQL - 团队分布式开发实践将多个团队独立开发和部署的 GraphQL API 整合到单一端点。介绍 Schema 冲突的规避策略和认证策略设计。使用 Amazon Cognito 实现用户认证 - User Pool 与 Identity Pool 的设计详解 Cognito User Pool 的用户认证、Identity Pool 的 AWS 资源访问以及社交登录的集成。

本分类的更多服务

IAM Access Analyzer 图标IAM Access Analyzer 专业检测可从外部访问的资源和未使用的访问权限的服务AWS Certificate Manager 图标AWS Certificate Manager 基础自动化 SSL/TLS 证书的配置、管理和部署的服务AWS Artifact 图标AWS Artifact 专业按需获取 AWS 合规报告和协议的服务AWS Audit Manager 专业自动化合规审计的证据收集和评估的服务AWS CloudHSM 图标AWS CloudHSM 专业使用专用硬件安全模块管理加密密钥的服务Amazon Detective 图标Amazon Detective 专业自动分析安全检测结果并调查根本原因的服务AWS Directory Service 图标AWS Directory Service 专业在 AWS 上提供托管 Active Directory 的服务AWS Firewall Manager 图标AWS Firewall Manager 专业集中管理 AWS Organizations 全组织防火墙规则的服务

相似的文章与服务

Amazon Cognito为 Web 和移动应用添加用户认证与授权功能的全托管服务,支持社交登录和 SAML 集成用户认证的实现 - 使用 Cognito 构建安全的认证基础设施解析利用 Amazon Cognito 设计和实现用户认证基础设施的方法,介绍用户池、ID 池以及外部身份提供商集成的认证流程构建方式。使用 Amazon Cognito 实现用户认证 - User Pool 与 Identity Pool 的设计详解 Cognito User Pool 的用户认证、Identity Pool 的 AWS 资源访问以及社交登录的集成。加速全栈开发 - 通过 Amplify 构建云原生应用程序介绍利用 AWS Amplify 进行全栈开发的方法,包括前端托管、后端构建以及通过认证和存储集成实现快速应用程序开发。身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。