AWS Cognito OIDC提供商PKCE

Question

我有一个Amplify应用程序，它使用Cognito进行身份验证。我需要允许用户通过第三方登录。我已经在Cognito中将他们设置为OIDC身份提供者。然而，这个第三方只支持使用PKCE的代码授权流，并且Cognito向OIDC提供者发出的请求不是使用PKCE发出的(不会发送code_challenge参数)。

查看OIDC提供程序和Cognito应用程序客户端的设置，我找不到启用此功能的方法。可以让Cognito向PKCE发出此请求吗？

Answer 1

不幸的是，我非常确定它不会：

对于来自客户端的直接请求，

• Cognito支持PKCE

• ，但我认为它不适用于与其他身份提供者的联合连接

从逻辑上讲，这应该以以下方式之一工作：

• Cognito可将其作为可切换身份提供者

的设置提供

• 或Cognito可从code_challenge_methids_supported元数据参数

派生该参数

• 目标身份提供商可能应该支持没有PKCE的传统OIDC消息，以便成为合规的OIDC提供商-这可能是您最好的选择

不久前，我使用Okta作为Cognito的IDP - Okta返回上面的元数据字段-但Cognito没有使用PKCE -请参阅步骤5之后的Federated OpenID Connect Messages部分。