As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Compreendendo os tokens web JSON do grupo de usuários () JWTs Os tokens são artefatos de autenticação que as aplicações podem usar como prova de autenticação OIDC e para solicitar acesso aos recursos. As *reivindicações* em tokens são informações sobre o usuário. O token de ID contém declarações sobre a identidade dele, como nome de usuário, nome de família e endereço de e-mail. O token de acesso contém afirmações como as `scope` que o usuário autenticado pode usar para acessar terceiros APIs, operações de API de autoatendimento para usuários do Amazon Cognito e o. [endpoint userinfo](userinfo-endpoint.md) Tanto o token de acesso quanto o de ID incluem uma declaração `cognito:groups` que contém a associação do usuário ao grupo de usuários. Para obter mais informações sobre grupos de usuários, consulte [Como adicionar grupos a um grupo de usuários](cognito-user-pools-user-groups.md). O Amazon Cognito também tem tokens de atualização que você pode usar para obter novos tokens ou revogar tokens existentes. [Refresh a token](amazon-cognito-user-pools-using-the-refresh-token.md) (Atualizar um token) para recuperar novos tokens de ID e de acesso. [Revogar um token](amazon-cognito-user-pools-using-the-refresh-token.md#amazon-cognito-identity-user-pools-revoking-all-tokens-for-user) para revogar o acesso de usuário permitido por tokens de atualização. O Amazon Cognito emite tokens como strings codificadas em [base64url](https://datatracker.ietf.org/doc/html/rfc4648#section-5). Você pode decodificar qualquer token de ID ou acesso do Amazon Cognito de `base64url` para JSON em texto sem formatação. Os tokens de atualização do Amazon Cognito são criptografados, opacos para usuários e administradores de grupos de usuários e só podem ser lidos pelo seu grupo de usuários. **Autenticação com tokens** Quando um usuário faz login na sua aplicação, o Amazon Cognito verifica as informações de login. Se o login for bem-sucedido, o Amazon Cognito criará uma sessão e retornará um token de ID, um de acesso e um de atualização para o usuário autenticado. Você pode usar os tokens para conceder aos seus usuários acesso a recursos downstream, APIs como o Amazon API Gateway. Outra opção é trocá-los por credenciais da AWS temporárias para acessar outros Serviços da AWS. ![Visão geral de autenticação](http://docs.aws.amazon.com/pt_br/cognito/latest/developerguide/images/scenario-authentication-cup2.png) **Armazenar tokens** Sua aplicação deve ser capaz de armazenar tokens de tamanhos variados. O tamanho do token pode mudar por vários motivos, entre eles, declarações adicionais, alterações nos algoritmos de codificação e alterações nos algoritmos de criptografia. Quando você habilita a revogação de token no grupo de usuários, o Amazon Cognito adiciona declarações de token web JSON, o que aumenta o tamanho deles. As novas declarações `origin_jti` e `jti` são adicionadas aos tokens de acesso e ID. Para obter mais informações sobre revogação de tokens, consulte [Como revogar tokens](https://docs.aws.amazon.com/cognito/latest/developerguide/token-revocation.html). **Importante** Como prática recomendada, proteja todos os tokens em trânsito e no armazenamento no contexto da aplicação. Os tokens podem conter informações de identificação pessoal sobre seus usuários e informações sobre o modelo de segurança que você usa para o grupo de usuários. **Personalização de tokens** É possível personalizar os tokens de acesso e ID transmitidos pelo Amazon Cognito à aplicação. Em um [Acionador do Lambda antes da geração do token](user-pool-lambda-pre-token-generation.md), é possível adicionar, modificar e suprimir declarações de token. O gatilho de pré-geração de tokens é uma função do Lambda para a qual o Amazon Cognito envia um conjunto padrão de declarações. As reivindicações incluem escopos OAuth 2.0, associação a grupos de grupos de usuários, atributos do usuário e outros. A função pode então aproveitar a oportunidade para fazer alterações em runtime e retornar declarações de token atualizadas para o Amazon Cognito. Custos adicionais se aplicam à personalização do token de acesso com eventos da versão 2. Para mais informações, consulte [Preço do Amazon Cognito](https://aws.amazon.com/cognito/pricing/). **Topics** + [Como entender o token de identidade (ID)](amazon-cognito-user-pools-using-the-id-token.md) + [Como entender o token de acesso](amazon-cognito-user-pools-using-the-access-token.md) + [Tokens de atualização](amazon-cognito-user-pools-using-the-refresh-token.md) + [Encerrar sessões de usuário com revogação de token](token-revocation.md) + [Como verificar tokens web JSON](amazon-cognito-user-pools-using-tokens-verifying-a-jwt.md) + [Gerenciar a expiração e o armazenamento em cache do token do grupo de usuários](amazon-cognito-user-pools-using-tokens-caching-tokens.md)