是否有單個AWS Cognito區域（例如us-west-2）適合為加拿大，美國和波多黎各提供服務？

Question

我正在尋找托管登錄服務的選項，AWS Cognito看起來很有前途。

我注意到它的用戶池等當前不在區域間復制。 我想確認一個區域就足夠us-west-#例如us-east-# （或us-east-# ）就足以滿足用戶分布在加拿大，美國和波多黎各的應用程序的需求。

Answer 1

通常，不僅對於Cognito，用戶在托管您的服務的數據中心中越近越好。 這僅僅是為了使您可以最大程度地減少客戶端與托管服務的數據中心之間的傳播延遲。

因此，如果您必須選擇一個區域，請選擇大多數客戶最接近的區域。

AWS Cognito目前不跨區域復制userPool。 因此，如果要針對該userPool使用AccessToken，則需要轉到該userPool所在的區域。

現在，接受accessTokens的所有其他服務將在AWS內，任何區域的AWS外部接受您的令牌。

Answer 2

我將此補充詳細信息添加到問題中，作為Cognito返回的令牌類型的參考。 正如我剛剛通過谷歌搜索上面的答案中的一些信息發現的那樣。

針對userPool使用AccessToken可以完成諸如更新用戶帳戶信息之類的操作。 由於未復制池，因此使用池所在的區域將需要使用哪個區域。

http://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html

ID令牌

ID令牌表示為JSON Web密鑰令牌（JWT）。 令牌包含有關已認證用戶身份的聲明。 例如，它包含諸如名稱，family_name，phone_number等的聲明。有關標准聲明的更多信息，請參見OpenID Connect規范。 客戶端應用程序可以在應用程序內部使用此身份信息。 ID令牌還可用於根據您的資源服務器或服務器應用程序對用戶進行身份驗證。 當針對Web API在應用程序外部使用ID令牌時，必須信任ID令牌的簽名，然后才能信任ID令牌內的任何聲明。

用戶認證后一小時，ID令牌將過期。 過期后，您不應在客戶端或Web API中處理ID令牌。

訪問令牌

訪問令牌也表示為JSON Web密鑰令牌（JWT）。 它包含有關經過身份驗證的用戶的聲明，但是與ID令牌不同，它不包含所有用戶的身份信息。 訪問令牌的主要目的是在用戶池中的用戶上下文中授權操作。 例如，您可以對Amazon Cognito Identity使用訪問令牌來更新或刪除用戶屬性。 訪問令牌也可以與您的任何Web API一起使用，以做出訪問控制決策並授權用戶上下文中的操作。 與ID令牌一樣，您必須先在Web API中驗證訪問令牌的簽名，然后才能信任訪問令牌中的任何聲明。

訪問令牌在用戶認證后一小時后失效。 過期后不應該對其進行處理。

刷新令牌

刷新令牌只能用於Amazon Cognito，以檢索新的訪問或ID令牌。

默認情況下，刷新令牌在用戶驗證30天后過期。 為用戶池創建應用程序時，可以將應用程序的“刷新令牌到期時間（天）”設置為1到3650之間的任何值。