本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 配置电子邮件或电话验证
您可以在**身份验证方法**菜单下选择电子邮件或电话验证的设置。有关多重验证 (MFA) 的详细信息,请参阅[SMS 文本消息 MFA](user-pool-settings-mfa-sms-email-message.md)。
Amazon Cognito 使用 Amazon SNS 发送 SMS 消息。如果您 AWS 服务 之前没有发送过来自亚马逊 Cognito 或其他任何公司的短信,Amazon SNS 可能会将您的账户置于短信沙箱中。建议您在将账户从沙盒移到生产环境之前,向已验证的电话号码发送测试消息。此外,如果您计划向美国的目标电话号码发送短信,则必须从 Amazon Pinpoint 获取源 ID 或发件人 ID。要为 Amazon Cognito 用户池配置 SMS 消息,请参阅 [Amazon Cognito 用户池的短信设置](user-pool-sms-settings.md)。
Amazon Cognito 可以自动验证电子邮件地址或电话号码。要进行此验证,Amazon Cognito 将发送验证码或验证链接。对于电子邮件地址,Amazon Cognito 可以通过电子邮件发送代码或链接。当您在 Amazon Cognito 控制台的**消息模板**菜单中编辑**验证消息**模板时,您可以选择**验证类型**,即**代码**或**链接**。有关更多信息,请参阅 [自定义电子邮件验证消息](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-email-verification-message-customization)。
对于电话号码,Amazon Cognito 以 SMS 文本消息的形式发送代码。
Amazon Cognito 必须验证电话号码或电子邮件地址来确认用户,帮助他们恢复忘记的密码。或者,您可以使用注册前 Lambda 触发器或使用 API 操作自动确认用户[AdminConfirmSignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminConfirmSignUp.html)。有关更多信息,请参阅 [注册并确认用户账户](signing-up-users-in-your-app.md)。
验证代码或链接的有效期为 24 小时。
如果您选择要求通过电子邮件地址或电话号码进行验证,则在用户注册时,Amazon Cognito 将自动发送验证代码或链接。如果用户池已配置了 [自定义 SMS 发件人 Lambda 触发器](user-pool-lambda-custom-sms-sender.md) 或 [自定义电子邮件发件人 Lambda 触发器](user-pool-lambda-custom-email-sender.md),则会改为调用该函数。
**注意**
Amazon SNS 会另外收取用于验证电话号码的 SMS 文本消息费用。发送电子邮件不收费。有关 Amazon SNS 定价的信息,请参阅 [Worldwide SMS 定价](https://aws.amazon.com/sns/sms-pricing/)。有关提供 SMS 消息收发服务的最新国家/地区列表,请参阅[支持的区域和国家/地区](https://docs.aws.amazon.com/sns/latest/dg/sms_supported-countries.html)。
当您在应用程序中测试从 Amazon Cognito 生成电子邮件的操作时,请使用 Amazon Cognito 可以发送到而不会查无此人的邮件的真实电子邮件地址。有关更多信息,请参阅 [在测试应用程序时发送电子邮件](signing-up-users-in-your-app.md#managing-users-accounts-email-testing)。
忘记密码流程要求通过用户的电子邮件或电话号码来验证用户。
**重要**
如果用户同时注册了电话号码和电子邮件地址,并且用户池设置需要验证这两个属性,那么 Amazon Cognito 会通过 SMS 消息将验证码发送到电话号码上。Amazon Cognito 尚未验证电子邮件地址,因此您的应用程序必须致电[GetUser](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUser.html)以查看电子邮件地址是否在等待验证。如果确实需要验证,则应用程序必须致电[GetUserAttributeVerificationCode](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_GetUserAttributeVerificationCode.html)以启动电子邮件验证流程。然后它必须通过致电提交验证码[VerifyUserAttribute](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_VerifyUserAttribute.html)。
您可以调整 AWS 账户 和单条消息的短信支出配额。该限额仅适用于发送 SMS 消息的费用。有关更多信息,请参阅**什么是账户级和消息级支出配额及其运作方式?** 在 [Amazon SNS FAQs](https://aws.amazon.com/sns/faqs/) 中。
Amazon Cognito 使用您创建用户池的地方或下表中传统的 Amazon SNS **备用区域的 Amazon SNS** 资源发送短信。 AWS 区域 亚太地区(首尔)区域中的 Amazon Cognito 用户池例外。这些用户池使用您在亚太地区(东京)区域中的 Amazon SNS 配置。有关更多信息,请参阅 [选择 S AWS 区域 MS 消息](user-pool-sms-settings.md#sms-choose-a-region)。
| Amazon Cognito 区域 | 旧版 Amazon SNS 备用区域 |
| --- | --- |
| 美国东部(俄亥俄州) | 美国东部(弗吉尼亚州北部) |
| 亚太地区(孟买) | 亚太地区(新加坡) |
| 亚太地区(首尔) | 亚太地区(东京) |
| 加拿大(中部) | 美国东部(弗吉尼亚州北部) |
| 欧洲地区(法兰克福) | 欧洲地区(爱尔兰) |
| 欧洲地区(伦敦) | 欧洲地区(爱尔兰) |
**示例:**如果您的 Amazon Cognito 用户池位于亚太地区(孟买)区域,并且您增加了在 ap-southeast-1 区域中的支出限额,则可能不希望请求单独增加 ap-south-1 的支出限额。而是可以使用亚太地区(新加坡)中的 Amazon SNS 资源。
## 验证对于电子邮件地址和电话号码的更新
在用户更改电子邮件地址或电话号码属性的值后,这些属性可以立即变为活动但未经验证的状态。Amazon Cognito 还可以要求您的用户在 Amazon Cognito 更新属性之前验证新值。当您要求用户首先验证新值时,他们可以使用原始值进行登录和接收消息,直到他们验证新值。
当您的用户可以使用其电子邮件地址或电话号码作为用户池中的登录别名时,他们的已更新属性的登录名取决于您是否要求验证已更新的属性。当您要求用户验证已更新的属性时,用户可以使用原始属性值登录,直到他们验证新值。如果您不要求用户验证已更新的属性,则在验证新值之前,用户无法使用新属性值或原始属性值登录或接收消息。
例如,您的用户池允许使用电子邮件地址别名登录,并要求用户在更新时验证其电子邮件地址。Sue 以 `sue@example.com` 身份登录,想将她的电子邮件地址更改为 `sue2@example.com`,但是不小心输入了 `ssue2@example.com`。Sue 没有收到验证电子邮件,所以她无法验证 `ssue2@example.com`。Sue 以 `sue@example.com` 身份登录,然后在您的应用程序中重新提交表单,以将她的电子邮件地址更新为 `sue2@example.com`。她收到此电子邮件,向您的应用程序提供验证码,然后开始以 `sue2@example.com` 身份登录。
**当用户更新属性并且您的用户池验证新的属性值时**
+ 在确认代码以验证新值之前,用户可以使用原始属性值登录。
+ 用户只有在确认代码以验证新值后,才能使用新属性值登录。
+ 如果您在 [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API 请求`true`中`phone_number_verified`将`email_verified`或设置为,则他们可以在确认 Amazon Cognito 发送给他们的代码之前登录。
**当用户更新属性而您的用户池未验证新的属性值时**
+ 用户无法使用原始属性值登录或接收消息。
+ 在确认代码以验证新属性值之前,用户无法使用新属性值登录或接收除确认码之外的消息。
+ 如果您在 [AdminUpdateUserAttributes](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminUpdateUserAttributes.html)API 请求`true`中`phone_number_verified`将`email_verified`或设置为,则他们可以在确认 Amazon Cognito 发送给他们的代码之前登录。
## 当用户更新其电子邮件地址或电话号码时,需要进行属性验证
1. 登录 [Amazon Cognito 控制台](https://console.aws.amazon.com/cognito/home)。如果出现提示,请输入您的 AWS 凭据。
1. 在导航窗格中,选择 **用户池**,然后选择要编辑的用户池。
1. 在**注册**菜单中,在**属性验证和用户账户确认**下选择**编辑**。
1. 选择 **Keep original attribute value active when an update is pending**(等待更新时,保持原始属性值处于活动状态)。
1. 在 **Active attribute values when an update is pending**(等待更新时的活动属性值)下,选择您希望在 Amazon Cognito 更新值之前要求用户验证的属性。
1. 选择**保存更改**。
要要求使用 Amazon Cognito API 进行属性更新验证,您可以在请求中设置`AttributesRequireVerificationBeforeUpdate`参数。[UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)
## 授权 Amazon Cognito 代表您发送消息。
要代表您向您的用户发送短信,Amazon Cognito 需要具有您的权限。要授予该权限,您可以创建一个 AWS Identity and Access Management (IAM) 角色。在 Amazon Cognito 控制台的**身份验证方法**菜单的“SMS”下,选择**编辑**以设置角色。