AWS cognito：“访问令牌不包含 openid 范围”

Question

我在尝试从 AWS Cognito 获取用户属性时遇到了这个问题。

我不知道它怎么会是“无效令牌”，因为我已经复制并粘贴了它，而且我已经确定它是 accessToken 而不是 idToken 或其他任何东西。

这个网站上还有一些其他类似的问题，但它们没有解决我的问题：

"Access token does not contain openid scope" in AWS Cognito

Access token does not have the openid scope

更新：这里是我的应用客户端配置

Answer 1

好的，我知道了。

简答：您必须使用 oauth2 Cognito 身份验证，而不是使用 SDK 中默认的 Cognito 身份验证 API。

让我解释一下您遇到错误的原因：您正在使用 Cognito 身份验证，然后 Cognito 向您返回一个不包含“openid”范围的“访问令牌”，您可以将令牌粘贴到此处检查：https://jwt.io/#encoded-jwt。

您必须使用 oauth2 身份验证来获取包含“openid”的“访问令牌”。为此，您必须使用 Hosted UI 或 AUTHORIZATION Endpoint 来获取“访问令牌”。

您可以通过访问链接尝试托管 UI（请编辑您的域 + response_type + client_id + redirect_uri）：https://tsunami.auth.us-east-2.amazoncognito.com/login?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_SIGNIN_URL

您可以使用 AUTHORIZATION 端点：https://tsunami.auth.us-east-2.amazoncognito.com/oauth2/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_SIGNIN_URL&identity_provider=COGNITO，它将重定向到托管 UI

Answer 2

获取用户信息是一种开放 id 连接功能，需要令牌中的 openid 范围。

我怀疑问题出在您进行身份验证并获取令牌时未指定此范围。

通常您在进行身份验证时配置如下范围：

• openid 个人资料电子邮件

您还可以在 Cognito 中配置的 OAuth 客户端信任条目中提供这些信息

• 配置文件范围使您能够从用户信息端点获取用户名
• 电子邮件范围使您能够从用户信息端点获取电子邮件

请参阅step 9 of my write up 了解示例