AWS Cognito - 无效的刷新令牌

问题描述 投票:0回答:2

我正在将 Amazon Cognito 服务与 amazon-cognito-identity-js 库一起使用,并且在刷新用户令牌(即 id 令牌)时遇到问题。

当尝试通过发出未经身份验证的 initiateAuth 请求来刷新用户令牌时,我收到 400 http 状态响应以及“无效刷新令牌”错误消息。

POST https://cognito-idp.us-east-1.amazonaws.com/ 400(错误请求)

未捕获的错误:无效的刷新令牌。

为什么它认为我传递了无效的刷新令牌?

// the refresh token
var reToken;

// pool config
var poolData = {
    UserPoolId : 'us-east-1_XXXXXXXXX',
    ClientId : 'XXXXXXXXXXXXXXXXXXXXXXXXXX'
};

// connect to user pool and 
// find the current user
var CognitoUserPool = AmazonCognitoIdentity.CognitoUserPool;
var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);
var cognitoUser = userPool.getCurrentUser();

// if we found a user
if (cognitoUser != null)
{
    // get active user session
    cognitoUser.getSession(function(err, session)
    {
        // catch errors
        if (err) {
            alert(err);
            return;
        }

        // get the refresh token
        reToken = session.refreshToken.token;
    });
}

// get current epoch time
var curDate = new Date();
var currentEpoch = Math.round(curDate.getTime() / 1000);

// get the epoch when the token
// was last issued
var issuedEpoch = store.get('issued');

// set the refresh parameters
var refreshParams = {
    ClientId: 'XXXXXXXXXXXXXXXXXXXXXXXXXX',
    AuthFlow: 'REFRESH_TOKEN_AUTH',
    AuthParameters: { 'REFRESH_TOKEN': reToken }
};

// note: 30 minutes = 1800 seconds
// if a token was last issued over 30 minutes ago
if ( (currentEpoch - issuedEpoch) >= 1800 )
{
    // refresh the users token with a new token
    userPool.client.makeUnauthenticatedRequest('initiateAuth', refreshParams, (err, newToken) => {
        // catch errors
        if (err) {
            alert(err);
            return;
        }

        // do stuff with the returned token
        console.log(newToken)
    })

}

顺便说一句,我尝试过使用refreshSession(),但它告诉我getToken()不是refreshSession()的函数。

cognitoUser.refreshSession(reToken, (err, authResult) => {
    if (err) throw err;
    console.log(authResult)
});
javascript amazon-web-services amazon-cognito
2个回答
83
投票

我找到了答案。

事实证明,它实际上并不是一个无效的刷新令牌;而是一个无效的刷新令牌。至少在物体本身的意义上是这样。

如果您启用了设备跟踪,那么您必须在AuthParameters中传递用户设备密钥(我没有这样做)。

我通读了设备跟踪的描述,如在此处找到,它似乎不适用于我的用例,因此我只是将其关闭(用户池 > 登录 > 设备跟踪)。

上面的代码之后就可以工作了。

4
投票

可能导致此错误的另一件事:使用不同的用户池客户端生成刷新令牌并尝试使用它生成新的访问和 ID 令牌。看起来给定的刷新令牌只能由生成它的客户端使用。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.