2025年AWS认证AmplifyOAuth2集成专题试卷及解析.docxVIP

2025年AWS认证AmplifyOAuth2集成专题试卷及解析

2025年AWS认证AmplifyOAuth2集成专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSAmplify中，使用OAuth2.0进行身份验证时，以下哪个是授权码流程（AuthorizationCodeFlow）的主要特点？

A、客户端直接处理用户凭据

B、适用于无法安全存储密钥的公共客户端

C、通过重定向URI交换授权码获取令牌

D、使用客户端凭据直接获取访问令牌

【答案】C

【解析】正确答案是C。授权码流程的核心是通过重定向URI将授权码返回给客户端，客户端再用此码换取访问令牌。A是资源所有者密码凭据流程的特点；B是隐式流程的适用场景；D是客户端凭据流程的描述。知识点：OAuth2.0授权流程。易错点：混淆不同流程的适用场景和令牌交换方式。

2、在Amplify中配置Cognito用户池作为OAuth2.0提供者时，必须设置的参数是？

A、ClientSecret

B、AllowedOAuthFlows

C、RedirectURIs

D、Alloftheabove

【答案】D

【解析】正确答案是D。配置Cognito作为OAuth2.0提供者时，需要设置客户端密钥（对于机密客户端）、允许的OAuth流程（如授权码流程）和重定向URI（用于令牌交换）。缺少任何一个都会导致配置失败。知识点：CognitoOAuth配置。易错点：忽略重定向URI的精确匹配要求。

3、AmplifyAuth模块中，以下哪个方法用于启动OAuth2.0登录流程？

A、Auth.signIn()

B、Auth.federatedSignIn()

C、Auth.signUp()

D、Auth.currentSession()

【答案】B

【解析】正确答案是B。federatedSignIn()专门用于第三方OAuth2.0提供者登录。signIn()用于用户池直接登录；signUp()用于注册；currentSession()用于获取当前会话。知识点：AmplifyAuthAPI。易错点：混淆federatedSignIn()和signIn()的用途。

4、在OAuth2.0中，AccessToken和RefreshToken的主要区别是？

A、AccessToken有效期更长

B、RefreshToken用于获取新的AccessToken

C、RefreshToken可以访问资源

D、AccessToken包含用户身份信息

【答案】B

【解析】正确答案是B。RefreshToken的唯一用途是获取新的AccessToken，不能直接访问资源。A错误，AccessToken通常有效期较短；C错误，RefreshToken不能访问资源；D错误，IDToken才包含身份信息。知识点：OAuth2.0令牌类型。易错点：混淆不同令牌的用途和生命周期。

5、Amplify配置Cognito用户池时，以下哪个OAuth2.0范围（Scope）是获取用户邮箱所必需的？

A、openid

B、profile

C、email

D、aws.cognito.signin.user.admin

【答案】C

【解析】正确答案是C。email范围专门用于获取用户邮箱。openid用于基本身份验证；profile用于获取基本用户信息；aws.cognito.signin.user.admin是管理权限范围。知识点：OAuth2.0范围。易错点：混淆不同范围对应的权限。

6、在Amplify中，以下哪个配置项用于指定OAuth2.0提供者的类型？

A、domain

B、provider

C、response_type

D、client_id

【答案】B

【解析】正确答案是B。provider字段明确指定OAuth2.0提供者（如Google、Facebook）。domain是提供者域名；response_type是流程类型；client_id是客户端标识。知识点：AmplifyAuth配置。易错点：混淆provider和domain的作用。

7、OAuth2.0的PKCE（ProofKeyforCodeExchange）扩展主要用于解决什么问题？

A、防止授权码拦截攻击

B、提高令牌传输安全性

C、减少重定向URI配置

D、简化客户端注册流程

【答案】A

【解析】正确答案是A。PKCE通过动态生成codeverifier和challenge防止授权码被恶意拦截后滥用。B是TLS的作用；C与PKCE无关；D是动态客户端注册的功能。知识点：OAuth2.0安全扩展。易错点：混淆PKCE与其他安全机制。