amazon-cognito - 通过 Amplify [Okta] 向 Cognito Federated Identiy 传递代码挑战
问题描述
我将 Cognito 用户池与联合身份集成 [ Okta - 作为安全 Web 身份验证]。该流程适用于没有PKCE 的授权代码流程(使用 Amplify 和 Angular)。
创建了一个与 SPA(在 Okta 中)类似的应用程序,以启用 PKCE 并与 Cognito 联合身份集成。当我们重定向到托管 UI 时,挑战将通过 URL 传递给托管 UI。
但是在它重定向到 okta 之后,它会抛出这个错误。
当令牌端点身份验证方法为“无”时,需要 pkce 代码质询
Cognito 中是否需要任何其他配置才能将代码挑战传递给 Okta。
我在 Cognito 和 Okta 中使用授权码流。
在 Okta 中附加配置。
在 Cognito 中附加配置
解决方案
我的理解有误。Cognito 和 Okta之间的通信是服务到服务调用,它应该作为客户端凭证大流程执行。我们没有在 Okta 中启用 PKCE。
为客户端(Web 或移动应用程序)启用 PKCE 以进行服务身份验证。
当我们在没有客户端秘密的情况下创建 App Client 时,Amplify 在前端启用 PKCE。
推荐阅读
- c++ - 向量中每个向量的第 n 个元素的迭代器
- conditional-statements - 避免逻辑重复
- javascript - 这种冒泡排序的实现是错误的吗?
- mqtt - mqtt 无效负载内容,ftp
- android-studio - Android Studio 3.4.2 中是否有用于擦除虚拟设备数据的命令行?
- c++ - 如何将 PHI 节点添加到每个基本块的开头
- logstash-grok - 如何根据匹配创建和提取 new_field [msg]
- c++ - 基于我们实现类方法的位置的性能
- next.js - nextjs 根据 NODE_ENV 设置 process.env.baseUrl
- pyspark - 从 pyspark 数据框列中删除 HTML 标记