Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Tokens aktualisieren
<a name="amazon-cognito-user-pools-using-the-refresh-token"></a>

Sie können das Aktualisierungstoken verwenden, um neue ID- und Zugriffstoken abzurufen. Standardmäßig läuft das Aktualisierungstoken 30 Tage, nachdem sich Ihr Anwendungs-Benutzer an Ihrem Benutzerpool angemeldet hat, ab. Wenn Sie eine Anwendung für Ihren Benutzerpool erstellen, können Sie den Ablauf des Aktualisierungstokens der Anwendung auf einen beliebigen Wert zwischen 60 Minuten und 10 Jahren setzen. 

## Abrufen neuer Zugriffs- und Identitätstoken mit einem Aktualisierungstoken
<a name="amazon-cognito-user-pools-using-the-refresh-token_initiate-token"></a>

Amazon Cognito gibt Aktualisierungstoken als Reaktion auf eine erfolgreiche Authentifizierung mit dem verwalteten Anmeldeautorisierungscode-Flow und mit API-Operationen oder SDK-Methoden aus. Das Aktualisierungstoken gibt neue ID- und Zugriffstoken sowie optional ein neues Aktualisierungstoken zurück. Sie können Aktualisierungstoken auf folgende Weise verwenden.

**GetTokensFromRefreshToken**  
Der [GetTokensFromRefreshToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetTokensFromRefreshToken.html)API-Vorgang gibt neue ID- und Zugriffstoken aus einem gültigen Aktualisierungstoken aus. Sie erhalten auch ein neues Aktualisierungstoken, wenn Sie die Rotation des Aktualisierungstokens aktiviert haben.

**InitiateAuth und AdminitiateAuth**  
Die [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)oder [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)API-Operationen beinhalten den `REFRESH_TOKEN_AUTH` Authentifizierungsablauf. In diesem Ablauf übergeben Sie ein Aktualisierungstoken und erhalten neue ID- und Zugriffstoken. Sie können sich nicht mit `REFRESH_TOKEN_AUTH` In-App-Clients authentifizieren, wenn die [Rotation des Aktualisierungstokens](#using-the-refresh-token-rotation) aktiviert ist.

**OAuth Token-Endpunkt**  
Der [Token-Endpunkt](token-endpoint.md) in Benutzerpools mit einer [Domäne](cognito-user-pools-assign-domain.md) hat einen `refresh_token` Grant-Typ, der neue ID-, Zugriffs- und optional (bei [Rotation des Aktualisierungstokens) Aktualisierungstoken](#using-the-refresh-token-rotation) von einem gültigen Aktualisierungstoken ausgibt.

## Token-Rotation aktualisieren
<a name="using-the-refresh-token-rotation"></a>

Sie können optional die Rotation des Aktualisierungstokens in Ihrem App-Client konfigurieren. Mit der Rotation des Aktualisierungstokens kann Ihr Client das ursprüngliche Aktualisierungstoken für ungültig erklären und bei jeder Token-Aktualisierung ein neues Aktualisierungstoken ausgeben. Wenn diese Einstellung aktiviert ist, gibt jede erfolgreiche Anforderung in allen Formen der Token-Aktualisierung eine neue ID, einen neuen Zugriff *und* ein neues Aktualisierungstoken zurück. Wenn diese Einstellung deaktiviert ist, geben Token-Aktualisierungsanforderungen nur neue Zugriffs- und ID-Token zurück, und das ursprüngliche Aktualisierungstoken bleibt gültig. Das neue Aktualisierungstoken ist für die verbleibende Dauer des ursprünglichen Aktualisierungstokens gültig. Sie können [App-Clients](user-pool-settings-client-apps.md) so konfigurieren, dass sie Aktualisierungstoken rotieren oder das ursprüngliche Aktualisierungstoken übernehmen. Um für kurze Zeit Wiederholungsversuche zu ermöglichen, können Sie auch eine Übergangszeit von bis zu 60 Sekunden für das ursprüngliche Aktualisierungstoken konfigurieren.

**Wissenswertes zur Rotation von Aktualisierungstoken**
+ Nachdem Sie die Rotation der Aktualisierungstoken aktiviert haben, werden neue Ansprüche in JSON-Webtoken aus Ihrem Benutzerpool hinzugefügt. Die `origin_jti`- und `jti`-Ansprüche werden zu Zugriffs- und ID-Token hinzugefügt. Diese Ansprüche erhöhen die Größe von JWTs.
+ Die Rotation des Aktualisierungstokens ist nicht mit dem Authentifizierungsablauf kompatibel`REFRESH_TOKEN_AUTH`. Um die Rotation von Aktualisierungstoken zu implementieren, müssen Sie diesen Authentifizierungsablauf in Ihrem App-Client deaktivieren und Ihre Anwendung so gestalten, dass Token-Aktualisierungsanforderungen mit dem [GetTokensFromRefreshToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetTokensFromRefreshToken.html)API-Vorgang oder der entsprechenden SDK-Methode gesendet werden.
+ Wenn die Rotation des Aktualisierungstokens inaktiv ist, können Sie Token-Aktualisierungsanforderungen entweder mit oder abschließen. `GetTokensFromRefreshToken` `REFRESH_TOKEN_AUTH`
+ Wenn die [Geräteerinnerung](amazon-cognito-user-pools-device-tracking.md) in Ihrem Benutzerpool aktiv ist, müssen Sie den Geräteschlüssel in Anfragen angeben. `GetTokensFromRefreshToken` Wenn Ihr Benutzer keinen bestätigten Geräteschlüssel hat, den Ihre Anwendung in der ersten Authentifizierungsanfrage übermittelt, gibt Amazon Cognito einen neuen aus. Um Token in dieser Konfiguration zu aktualisieren, müssen Sie einen Geräteschlüssel angeben, unabhängig davon, ob Sie einen in der Authentifizierungsantwort angegeben `AuthParameters` oder einen neuen erhalten haben.
+ Sie können in Ihrer `GetTokensFromRefreshToken` Anfrage `ClientMetadata` an den Lambda-Trigger vor der Token-Generierung übergeben. Diese Daten, die an das Eingabeereignis für Ihren Trigger übergeben werden, liefern zusätzlichen Kontext, den Sie in der benutzerdefinierten Logik Ihrer Lambda-Funktion verwenden können.

Aus Sicherheitsgründen sollten Sie die Rotation der Aktualisierungstoken auf Ihren App-Clients aktivieren.

------
#### [ Enable refresh token rotation (console) ]

Mit dem folgenden Verfahren wird die Rotation des Aktualisierungstokens für Ihren App-Client ein- oder ausgeschaltet. Für dieses Verfahren ist ein vorhandener App-Client erforderlich. Weitere Informationen zum Erstellen eines App-Clients finden Sie unter[Anwendungsspezifische Einstellungen mit App-Clients](user-pool-settings-client-apps.md).

**Um die Rotation des Aktualisierungstokens**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus.

1. Navigieren Sie zum Menü **App-Clients** und wählen Sie einen vorhandenen App-Client aus.

1. Wählen Sie auf der Seite im Bereich **App-Client-Informationen** die Option **Bearbeiten** aus.

1. Suchen Sie unter **Erweiterte Sicherheitskonfigurationen** nach der Option **Aktualisierungstoken-Rotation aktivieren**.

1. Um die Rotation zu aktivieren, aktivieren Sie das Kontrollkästchen. Um die Rotation zu deaktivieren, deaktivieren Sie das Kontrollkästchen.

1. Geben Sie unter **Kulanzzeitraum für die Rotation des Aktualisierungstokens** eine Anzahl von Sekunden (bis zu 60) ein, die Sie als Verzögerung festlegen möchten, bevor das rotierte Aktualisierungstoken gesperrt wird.

------
#### [ Enable refresh token rotation (API) ]

Konfigurieren Sie die Rotation des Aktualisierungstokens in einer [CreateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPoolClient.html)oder API-Anfrage [UpdateUserPoolClient](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPoolClient.html). Der folgende Teil der Anfrage aktiviert die Rotation des Aktualisierungstokens und legt die Kulanzzeit auf zehn Sekunden fest.

```
"RefreshTokenRotation" : {
   "Feature" : "ENABLED,
   "RetryGracePeriodSeconds" : 10
}
```

------

## Aktualisierung von API- und SDK-Tokens
<a name="using-the-refresh-token-api"></a>

Es gibt zwei Möglichkeiten, das Aktualisierungstoken zu verwenden, um neue IDs und Zugriffstoken mit der Benutzerpools-API abzurufen, je nachdem, ob die Rotation des Aktualisierungstokens aktiv ist. Verwenden Sie in App-Clients mit aktiver Aktualisierungstoken-Rotation den [GetTokensFromRefreshToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetTokensFromRefreshToken.html)API-Vorgang. Verwenden Sie in App-Clients ohne Aktualisierungstoken-Rotation den `REFRESH_TOKEN_AUTH` Ablauf der [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)oder [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)API-Operationen.

**Anmerkung**  
Benutzer können sich mit Benutzerpools in [verwalteten Logins](cognito-user-pools-managed-login.md) oder in benutzerdefinierten Anwendungen, die Sie mit Amazon Cognito AWS SDKs API-Vorgängen erstellen, authentifizieren. Der `REFRESH_TOKEN_AUTH` Ablauf und beide `GetTokensFromRefreshToken` können die Token-Aktualisierung für verwaltete Login-Benutzer abschließen. Die Tokenaktualisierung in benutzerdefinierten Anwendungen hat keine Auswirkungen auf verwaltete Anmeldesitzungen. Diese Sitzungen werden in einem Browser-Cookie gespeichert und sind eine Stunde lang gültig. Die `GetTokensFromRefreshToken` Antwort gibt neue ID-, Zugriffs- und optionale Aktualisierungstoken aus, erneuert jedoch nicht das verwaltete Anmeldesitzungscookie.  
`REFRESH_TOKEN_AUTH`ist in App-Clients mit aktivierter Aktualisierungstoken-Rotation nicht verfügbar.

------
#### [ GetTokensFromRefreshToken ]

[GetTokensFromRefreshToken](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetTokensFromRefreshToken.html)gibt neue ID-, Zugriffs- und Aktualisierungstoken aus einer Anfrage zurück, die Sie mit einem Aktualisierungstoken autorisieren. Im Folgenden finden Sie ein Beispiel für einen Anfragetext für`GetTokensFromRefreshToken`. In Anfragen für diesen Vorgang können Sie Client-Metadaten an Lambda-Trigger senden.

```
{
    "RefreshToken": "{{eyJjd123abcEXAMPLE}}",
    "ClientId": "{{1example23456789}}",
    "ClientSecret": "{{myappclientsecret123abc}}",
    "ClientMetadata": { 
      "{{MyMetadataKey}}" : "{{MyMetadataValue}}" 
   },
}
```

------
#### [ AdminInitiateAuth/InitiateAuth ]

Um das Aktualisierungstoken zu verwenden, wenn die Aktualisierungstoken-Rotation inaktiv ist, verwenden Sie die [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)API-Operationen [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)oder. Übergeben Sie `REFRESH_TOKEN_AUTH` für den `AuthFlow`-Parameter. Übergeben Sie das Aktualisierungstoken des Benutzers in der `AuthFlow`-Eigenschaft `AuthParameters` als Wert von `"REFRESH_TOKEN"`. Amazon Cognito gibt neue ID- und Zugriffstoken zurück, nachdem Ihre API-Anfrage alle Herausforderungen bestanden hat.

Im Folgenden finden Sie ein Beispiel für einen Anforderungstext für eine Token-Aktualisierung mit der `AdminInitiateAuth` API `InitiateAuth` oder.

```
{
    "AuthFlow": "REFRESH_TOKEN_AUTH",
    "ClientId": "{{1example23456789}}",
    "UserPoolId": "{{us-west-2_EXAMPLE}}",
    "AuthParameters": {
        "REFRESH_TOKEN": "{{eyJjd123abcEXAMPLE}}",
        "SECRET_HASH": "{{kT5acwCVrbD6JexhW3EQwnRSe6fLuPTRkEQ50athqv8=}}"
    }
}
```

------

## OAuth Token-Aktualisierung
<a name="using-the-refresh-token-oauth"></a>

Sie können Aktualisierungstoken auch an den [Token-Endpunkt](token-endpoint.md) in einem Benutzerpool übermitteln, in dem Sie eine Domain konfiguriert haben. Fügen Sie in den Anfragetext den `grant_type`-Wert `refresh_token` und den `refresh_token`-Wert des Aktualisierungstokens des Benutzers ein.

Anfragen an den Token-Endpunkt sind in App-Clients mit aktiver Aktualisierungstoken-Rotation und solchen, bei denen sie inaktiv ist, verfügbar. Wenn die Aktualisierungstoken-Rotation aktiv ist, gibt der Token-Endpunkt ein neues Aktualisierungstoken zurück.

Im Folgenden finden Sie eine Beispielanforderung mit einem Aktualisierungstoken.

```
POST /oauth2/token HTTP/1.1
Host: {{auth.example.com}}
Content-Type: application/x-www-form-urlencoded
Authorization: Basic {{ZGpjOTh1M2ppZWRtaTI4M2V1OTI4OmFiY2RlZjAxMjM0NTY3ODkw}}
Content-Length: **

client_id={{1example23456789}}&grant_type=refresh_token&refresh_token={{eyJjd123abcEXAMPLE}}
```

## Widerrufen von Aktualisierungstokens
<a name="amazon-cognito-identity-user-pools-revoking-all-tokens-for-user"></a>

Sie können Aktualisierungstokens widerrufen, die einem Benutzer gehören. Weitere Informationen über Token finden Sie unter [Benutzersitzungen mit Token-Widerruf beenden](token-revocation.md). 

**Anmerkung**  
Durch das Widerrufen des Aktualisierungstokens werden alle ID- und Zugriffstoken widerrufen, die Amazon Cognito aus Aktualisierungsanfragen mit diesem Token ausgestellt hat.

Um Benutzer von allen aktuell angemeldeten Sitzungen abzumelden, widerrufen Sie alle ihre Token mit [GlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html)oder [AdminUserGlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html)API-Anfragen. Die Abmeldung eines Benutzers hat folgende Auswirkungen.
+ Mit dem Aktualisierungstoken des Benutzers können keine neuen Token für den Benutzer abgerufen werden.
+ Mit dem Zugriffstoken des Benutzers können keine über Token autorisierte API-Anforderungen gesendet werden.
+ Der Benutzer muss sich erneut authentifizieren, um neue Tokens zu erhalten. Da Cookies für verwaltete Anmeldesitzungen nicht automatisch ablaufen, kann sich Ihr Benutzer mit einem Sitzungscookie erneut authentifizieren, ohne dass zusätzliche Anmeldeinformationen angefordert werden müssen. Nachdem Sie Ihre verwalteten Anmeldebenutzer abgemeldet haben, leiten Sie sie zu dem weiter[Logout-Endpunkt](logout-endpoint.md), wo Amazon Cognito ihr Sitzungscookie löscht.

Mit Aktualisierungstoken können Sie Benutzersitzungen in Ihrer App für eine lange Zeit aufrechterhalten. Im Laufe der Zeit möchten Ihre Benutzer möglicherweise einige Anwendungen deautorisieren, bei denen sie mit ihren Aktualisierungstoken angemeldet geblieben sind. Um Ihren Benutzer von einer einzelnen Sitzung abzumelden, widerrufen Sie sein Aktualisierungstoken. Wenn sich Ihr Benutzer von allen authentifizierten Sitzungen abmelden möchte, generieren Sie eine [GlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GlobalSignOut.html)API-Anfrage. Ihre App kann dem Benutzer eine Auswahl wie **Von allen Geräten abmelden** bieten. `GlobalSignOut` akzeptiert das gültige – unveränderte, nicht abgelaufene, nicht widerrufene – Zugriffstoken eines Benutzers. Da diese API über Token autorisiert ist, können Benutzer sie nicht verwenden, um die Abmeldung für andere Benutzer zu initiieren.

Sie können jedoch eine [AdminUserGlobalSignOut](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUserGlobalSignOut.html)API-Anfrage generieren, die Sie mit Ihren AWS Anmeldeinformationen autorisieren, um jeden Benutzer von all seinen Geräten abzumelden. Die Administratoranwendung muss diesen API-Vorgang mit AWS Entwickleranmeldedaten aufrufen und die Benutzerpool-ID und den Benutzernamen des Benutzers als Parameter übergeben. Die `AdminUserGlobalSignOut`-API kann alle Benutzer vom Benutzerpool abmelden.

Weitere Informationen zu Anfragen, die Sie entweder mit AWS Anmeldeinformationen oder dem Zugriffstoken eines Benutzers autorisieren können, finden Sie unter[Liste der API-Operationen, gruppiert nach Autorisierungsmodell](authentication-flows-public-server-side.md#user-pool-apis-auth-unauth).