亚马逊AWS官方博客

使用新推出的 Amazon Cognito 功能改善您的应用程序身份验证工作流

10 年前推出的 Amazon Cognito 是一项服务,可以帮助您在 Web 应用程序和移动应用程序中实施客户身份和访问管理(CIAM)。您可以将 Amazon Cognito 用于各种使用案例,从让您的客户能够快速为应用程序和授权添加登录和注册体验,到保护机器对机器身份验证,再到启用对 AWS 资源的基于角色的访问,无所不包。

今天,我非常高兴地与大家分享 Amazon Cognito 的一系列重要更新。这些增强旨在为您的应用程序提供更高的灵活性和安全性以及更好的用户体验。

下面是一份快速摘要:

以开发者为中心的全新控制台体验

Amazon Cognito 现在提供了简化的入门体验,包括快速向导和特定于使用案例的建议。这种新方法可以帮助您设置配置,并且比以往任何时候都更快速、更高效地联系最终用户。

这是新推出的 Amazon Cognito 流程,可以帮助您快速设置应用程序。您可以通过三个步骤开始使用此流程:

  1. 选择您需要构建的应用程序的类型
  2. 根据应用程序的类型配置登录选项
  3. 按照说明将登录和注册页面与您的应用程序集成在一起

然后选择创建

随后,Amazon Cognito 会自动创建您的应用程序和一个新的用户池,这是一个用于身份验证和授权的用户目录。在这里,您可以选择“查看登录”页面以查看登录页面,或者开始使用应用程序的示例代码。此外,Amazon Cognito 还支持主要的应用程序框架,并详细说明了如何使用标准 OpenID Connect(OIDC)和 OAuth 开源库将这些框架集成。

这是您的应用程序的新概览控制面板。用户池控制面板现在在详细信息部分中提供了重要信息以及一组建议,以帮助您继续您的开发之旅。

在此页面上,您可以使用托管式登录功能自定义用户的登录和注册体验。这是我向您简要概述下一项新功能的好办法。

介绍托管式登录

托管式登录的推出让 Amazon Cognito 的自定义水平迈上了一个新台阶。托管式登录可以处理贵公司的可用性、扩展性和安全性方面的繁重工作。集成之后,您无需进一步更改代码,即可自动获得所有的全新安全补丁和未来的功能。

此功能允许您为最终用户创建个性化的注册和登录体验,这些体验是贵公司的应用程序的一个无缝组成部分。

您需要首先分配一个域,才能使用托管式登录。可以通过两种方法做到这一点:使用一个带有前缀的域(Amazon Cognito 域的一个随机生成的子域),或者使用您自己的自定义域为您的用户提供熟悉的域名。

随后,您可以选择您的品牌版本,并选择托管式登录经典 Hosted UI

如果您是 Amazon Cognito 的现有用户,您可能已经非常熟悉经典 Hosted UI 功能。托管式登录是 Hosted UI 的改进版本,它提供了一系列全新的注册和登录 Web 界面、针对不同屏幕尺寸的内置响应能力、多重身份验证以及用户池中的密码重置活动。

借助托管式登录,您可以使用新的品牌设计器、适用于托管式登录资产和样式的无代码可视化编辑器,以及一组用来利用 AWS CloudFormation 通过基础设施即代码进行编程配置或部署的 API 操作。

借助品牌设计器,您可以灵活地自定义从注册和登录到密码恢复和多重身份验证的整个用户旅程的外观。此功能提供了实时预览和便捷的快捷方式,可以在启动屏幕之前预览不同屏幕尺寸和显示模式的屏幕。

您可以访问托管式登录文档页面,以了解有关托管式登录的更多信息。

支持无密码登录

托管式登录功能还为无密码身份验证方法提供了预构建的集成,包括使用密钥、电子邮件 OTP(一次性密码)和短信 OTP 进行登录。借助通行密钥支持,用户可以使用安全地存储在他们的设备上的加密密钥进行身份验证,与传统密码相比,安全性更高。此功能可以帮助您实施低摩擦、安全的身份验证方法,而无需了解和实施 WebAuthn 相关协议。

通过减少与基于密码的传统登录方法相关的摩擦,此功能简化了用户的应用程序访问,同时保持非常高的安全标准。

请访问用户池身份验证流程文档页面,以了解有关无密码登录支持的更多信息。

更多定价套餐选项:精简版、基础版和增强版

Amazon Cognito 推出了新的用户池功能套餐:精简版、基础版和增强版。这些套餐旨在满足不同的客户需求和使用案例需求,其中基础版套餐是客户创建的新用户池的默认套餐。使用这种新的套餐结构,您还可以根据应用程序的需求选择最合适的选项,并根据需要灵活地在套餐之间切换。

要查看您的当前套餐,您可以转到应用程序控制面板并选择功能计划。您也可以从导航菜单中选择设置

在此页面上,您将获得每种套餐的详细信息以及用来将您的计划降级或升级的选项。

下面是每种套餐的简要概述:

  1. 精简版套餐:用户注册、基于密码的身份验证和社交身份提供商集成等现有功能现已打包在此套餐中。如果您是 Amazon Cognito 的现有用户,无需更改用户池即可继续使用这些功能。
  2. 基础版套餐:提供全面的身份验证和访问控制功能,使您能够在几分钟内为应用程序实施安全、可扩展、自定义的注册和登录体验。它包括精简版的所有功能,并支持使用密钥、电子邮件或短信的托管式登录和无密码登录选项。基础版还支持自定义访问令牌,并禁止重复使用密码。
  3. 增强版套餐:基于基础版套餐进行构建,侧重于满足更高的安全需求。它包括基础版的所有功能,还包括针对可疑登录活动的威胁保护功能、针对泄露的凭证的检测、基于风险的适应性身份验证,并且能够导出用户身份验证事件日志以进行威胁分析。

精简版、基础版和增强版套餐的定价基于每月活跃用户数量。目前使用 Amazon Cognito 高级安全功能的客户应当考虑增强版套餐,此套餐包括所有高级安全功能以及无密码等额外功能,与使用独立的高级安全功能相比,最多可节省 60%。

如果您希望了解这些新的定价套餐,请参阅 Amazon Cognito 定价页面。

您需要了解的一些事项

  • 供应情况 – 除了 AWS GovCloud(美国)区域以外,所有推出了 Amazon Cognito 的 AWS 区域都提供基础版和增强版套餐。
  • 精简版和基础版套餐的免费套餐 – 精简版和基础版套餐的客户每月可以享受不会自动过期的免费套餐。它可供现有和新加入的 AWS 客户无限期使用。有关免费套餐的更多详细信息,请访问 Amazon Cognito 定价页面。
  • 为现有客户提供延期定价优惠 – 在 2025 年 11 月 30 日之前,客户有资格将他们的现有账户中没有高级安全功能(ASF)的用户池升级到基础版,并支付与 Cognito 用户池相同的价格。要获得资格,在太平洋时间 2024 年 11 月 22 日上午 10:00 或之前,客户的账户在过去的 12 个月内必须拥有至少 1 名每月活跃用户(MAU)。在 2025 年 11 月 30 日之前,这些客户还有资格以与这些账户中的 Cognito 用户池相同的价格创建享受基础版套餐的新用户池。

通过这些更新,您可以使用 Amazon Cognito 为您的应用程序实施安全、可扩展、可自定义的身份验证解决方案。

祝大家构建顺利。
Donnie


*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。