Amazon Cognito 现在支持刷新令牌轮换功能

发布于: 2025年4月22日

Amazon Cognito 宣布支持用户池客户端的 OAuth 2.0 刷新令牌轮换功能。刷新令牌是一种长期有效的令牌，允许应用程序在无需用户重新登录的情况下获取新的访问令牌。借助刷新令牌轮换功能，您现在可以配置用户池客户端，使其定期自动将现有的刷新令牌替换为新的刷新令牌，从而强化应用程序的安保状况。与之前依赖长期有效令牌的方式相比，刷新令牌轮换缩短了泄露的刷新令牌可能被利用的时段。此外，刷新令牌会在后台自动轮换，使您的用户无需重新验证身份即可持续访问应用程序。

在没有刷新令牌轮换功能的情况下，客户过去通常需要在两者之间权衡：要么选择长期有效的令牌以尽可能减少因重新执行身份验证带来的用户干扰，要么选择短期令牌以更好地防范令牌泄露带来的风险。现在，通过刷新令牌轮换功能，客户可以通过自动更新用户的刷新令牌来实现无缝的用户体验，同时强化其应用程序的安保状况。例如，在一款协作应用程序中，用户会话可保持 30 天的登录状态，而其刷新令牌可在每次交换新的访问令牌和 ID 令牌时每隔几小时更新一次，从而有效缩短任意单个令牌的暴露时段。

在提供 Cognito 的 AWS 区域（包括 AWS GovCloud（美国）区域），使用 Essentials 或 Plus 套餐的 Amazon Cognito 客户可以使用此功能。要了解更多信息，请访问 Cognito 刷新令牌开发人员指南。