一、能否修改Cognito托管UI的HTML？ #

很遗憾，AWS Cognito的托管UI（Hosted UI）的核心HTML结构是无法直接修改的——这是AWS托管服务的设计限制，毕竟托管UI是AWS维护的标准化安全组件，负责保障认证流程的合规性和稳定性。

你已经完成的CSS自定义，其实是官方支持的最大自定义范围了。除此之外，你还能做的调整包括：

• 在用户池设置中上传自定义Logo
• 修改部分提示文案（比如登录按钮文本、错误提示语等）
• 通过配置signInUrl等参数调整跳转逻辑

AWS支持团队没法帮你修改HTML结构，也是因为这个属于服务本身的边界，并非技术问题。

二、用自定义登录页对接Cognito实现登录功能 #

既然托管UI的HTML改不了，那直接用你的自定义页面对接Cognito的认证API是更合适的方案，我之前处理过类似需求，给你梳理下关键步骤：

1. 准备Cognito配置 #

• 登录AWS控制台，进入你的Cognito用户池，创建一个App客户端
• 根据你的登录需求开启对应认证流：如果是用户名密码登录，勾选USER_PASSWORD_AUTH；如果需要第三方登录，配置好身份提供商（比如Google、Facebook）并开启OAuth授权流
• 记录好用户池ID、App客户端ID、服务区域这些核心参数

2. 在自定义页面中实现登录逻辑 #

你可以选两种方式调用Cognito API，推荐用第一种简化开发：

方式一：使用AWS Amplify（推荐）

Amplify已经封装了Cognito的认证逻辑，只需引入库并配置参数即可：

// 初始化Amplify
import { Amplify } from 'aws-amplify';
import { Auth } from 'aws-amplify/auth';

Amplify.configure({
  Auth: {
    region: '你的服务区域',
    userPoolId: '你的用户池ID',
    userPoolWebClientId: '你的App客户端ID',
  }
});

// 登录逻辑
async function handleLogin(username, password) {
  try {
    const user = await Auth.signIn(username, password);
    // 获取认证token，用于后续接口调用
    const tokens = user.signInUserSession;
    console.log('登录成功', tokens);
    // 跳转到你的应用首页
    window.location.href = '/home';
  } catch (error) {
    console.error('登录失败', error.message);
    // 把错误提示展示给用户
  }
}

方式二：直接调用Cognito REST API

如果不想依赖Amplify，也可以直接调用InitiateAuth接口：

async function handleLogin(username, password) {
  const params = {
    AuthFlow: 'USER_PASSWORD_AUTH',
    ClientId: '你的App客户端ID',
    AuthParameters: {
      USERNAME: username,
      PASSWORD: password
    }
  };

  try {
    const response = await fetch(`https://cognito-idp.你的服务区域.amazonaws.com/`, {
      method: 'POST',
      headers: {
        'Content-Type': 'application/x-amz-json-1.1',
        'X-Amz-Target': 'AWSCognitoIdentityProviderService.InitiateAuth'
      },
      body: JSON.stringify(params)
    });

    const data = await response.json();
    if (data.AuthenticationResult) {
      // 把token存到安全的地方（建议用HttpOnly Cookie，比localStorage更安全）
      localStorage.setItem('idToken', data.AuthenticationResult.IdToken);
      localStorage.setItem('accessToken', data.AuthenticationResult.AccessToken);
      // 跳转首页
      window.location.href = '/home';
    } else {
      console.error('登录失败', data);
    }
  } catch (error) {
    console.error('请求失败', error);
  }
}

3. 处理后续核心逻辑 #

• 登录成功后，妥善存储token，优先用HttpOnly Cookie避免XSS风险
• 实现token过期后的自动刷新逻辑（可调用Auth.currentSession()或RefreshToken API）
• 如果需要第三方登录，可在自定义页面添加跳转按钮，指向Cognito授权端点：https://你的用户池域名/oauth2/authorize?response_type=code&client_id=你的App客户端ID&redirect_uri=你的回调地址，再在回调页面处理授权码换取token

注意事项 #

• 公开类型的App客户端不要硬编码密钥（密钥可留空）
• 确保自定义页面域名已添加到Cognito用户池的允许回调URL和允许退出URL列表中
• 要覆盖各种异常场景：用户不存在、密码错误、用户未验证、token过期等

内容的提问来源于stack exchange，提问作者Sagar