

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Hibah OAuth 2.0
<a name="federation-endpoints-oauth-grants"></a>

[Server otorisasi OAuth 2.0 kumpulan pengguna Amazon Cognito mengeluarkan token sebagai tanggapan atas tiga jenis hibah otorisasi OAuth 2.0.](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3) Anda dapat menyetel jenis hibah yang didukung untuk setiap klien aplikasi di kumpulan pengguna Anda. *Anda tidak dapat mengaktifkan hibah *kredensyal klien* di klien aplikasi yang sama seperti hibah kode *implisit atau otorisasi*.* Permintaan untuk hibah kode implisit dan otorisasi dimulai dari Anda [Otorisasi titik akhir](authorization-endpoint.md) dan permintaan untuk hibah kredensyal klien dimulai dari Anda. [Titik akhir token](token-endpoint.md)

**Pemberian kode otorisasi**  
Menanggapi permintaan otentikasi Anda yang berhasil, server otorisasi menambahkan kode otorisasi dalam `code` parameter ke URL callback Anda. Anda kemudian harus menukar kode untuk ID, akses, dan refresh token dengan[Titik akhir token](token-endpoint.md). Untuk meminta pemberian kode otorisasi, setel `response_type` ke `code` dalam permintaan Anda. Untuk contoh permintaan, lihat[Contoh: hibah kode otorisasi](authorization-endpoint.md#sample-authorization-code-grant). Amazon Cognito mendukung [Kunci Bukti untuk Pertukaran Kode (PKCE)](using-pkce-in-authorization-code.md) dalam hibah kode otorisasi.  
Pemberian kode otorisasi adalah bentuk hibah otorisasi yang paling aman. Itu tidak menampilkan konten token langsung ke pengguna Anda. Sebagai gantinya, aplikasi Anda bertanggung jawab untuk mengambil dan menyimpan token pengguna Anda dengan aman. Di Amazon Cognito, pemberian kode otorisasi adalah satu-satunya cara untuk mendapatkan ketiga jenis token—ID, akses, dan penyegaran—dari server otorisasi. Anda juga bisa mendapatkan ketiga jenis token dari otentikasi melalui API kumpulan pengguna Amazon Cognito, tetapi API tidak mengeluarkan token akses dengan cakupan selain. `aws.cognito.signin.user.admin`

**Hibah implisit**  
Menanggapi permintaan otentikasi Anda yang berhasil, server otorisasi menambahkan token akses dalam `access_token` parameter, dan token ID dalam `id_token` parameter, ke URL panggilan balik Anda. Hibah implisit tidak memerlukan interaksi tambahan dengan. [Titik akhir token](token-endpoint.md) Untuk meminta hibah implisit, setel `response_type` ke `token` dalam permintaan Anda. Hibah implisit hanya menghasilkan ID dan token akses. Untuk contoh permintaan, lihat[Contoh: Pemberian Token (implisit) tanpa cakupan `openid`](authorization-endpoint.md#sample-token-grant-without-openid-scope).  
Hibah implisit adalah hibah otorisasi warisan. Tidak seperti hibah kode otorisasi, pengguna dapat mencegat dan memeriksa token Anda. Untuk mencegah pengiriman token melalui hibah implisit, konfigurasikan klien aplikasi Anda untuk mendukung pemberian kode otorisasi saja.

**Kredensial klien**  
Kredensyal klien adalah hibah otorisasi khusus untuk akses mesin-ke-mesin. Untuk menerima hibah kredensyal klien, lewati [Otorisasi titik akhir](authorization-endpoint.md) dan buat permintaan langsung ke. [Titik akhir token](token-endpoint.md) Klien aplikasi Anda harus memiliki rahasia klien dan hanya mendukung kredensi klien. Menanggapi permintaan Anda yang berhasil, server otorisasi mengembalikan token akses.  
Token akses dari hibah kredensyal klien adalah mekanisme otorisasi yang berisi cakupan OAuth 2.0. Biasanya, token berisi klaim cakupan khusus yang mengotorisasi operasi HTTP untuk mengakses API yang dilindungi. Untuk informasi selengkapnya, lihat [Lingkup, M2M, dan server sumber daya](cognito-user-pools-define-resource-servers.md).  
Hibah kredensi klien menambah biaya ke tagihan Anda. AWS Untuk informasi selengkapnya, lihat [Harga Amazon Cognito](https://aws.amazon.com/cognito/pricing).

**Token refresh**  
Anda dapat meminta hibah token penyegaran langsung dari[Titik akhir token](token-endpoint.md). Hibah ini mengembalikan ID baru dan token akses dengan imbalan token penyegaran yang valid.

*Untuk perspektif lebih lanjut tentang hibah ini dan implementasinya, lihat Cara menggunakan [OAuth 2.0 di Amazon Cognito: Pelajari tentang berbagai hibah OAuth 2.0 di](https://aws.amazon.com/blogs/security/how-to-use-oauth-2-0-in-amazon-cognito-learn-about-the-different-oauth-2-0-grants/) Blog Keamanan.AWS *