可以撤销AWS认知IdToken吗？

Question

是否可以通过AWS Cognito IdToken和password撤销用户身份验证后获得的username？

在我的使用中，对API Gateway端点的访问受到Cognito User Pool Authorizer的限制，它在request.headers.Authorizer中将IdToken作为参数。我正在寻找阻止当前用户的IdToken的方法。

在AWSJavaScriptSDK中是一个函数globalSignOut({AccessToken})，它撤销accessToken：http://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/CognitoIdentityServiceProvider.html#globalSignOut-property

是否有可能以相同或类似的方式撤销IdToken？

感兴趣的：我在aws-sdk-js：https://github.com/aws/aws-sdk-js/issues/1687上创建了一个问题

Answer 1

正如@AllanFly120在提到的主题中所写的

因为IdToken被表示为JSON令牌，所以它使用一个秘密或私有/公钥对进行签名，这意味着即使您撤销了，也没有办法撤销分布式公钥。而IdToken的寿命很短，它将在短时间内到期。

它消除了我的疑虑。

Answer 2

你是对的。globalSignOut调用将撤销除id令牌之外的所有令牌。id令牌是一个承载令牌，通常与用户池之外的服务一起使用。我是认知团队的一员，我们的日历上确实有一个集成路线图，让使用id令牌的服务返回检查，看看这些id令牌是否有效，并且不接受无效的标识。

Answer 3

事实并非如此。即使有文档说明，如果您认真对待应用程序的安全性，至少60分钟的过期时间也是不可接受的。

下面是一篇描述AWS认知缺陷的文章：三件事，你应该知道之前，使用AWS认知作为认证