nu *_*est 8 javascript security amazon-web-services amazon-cognito
我正在使用客户端 Cognito Javascript SDK。部分设置需要配置region, UserPoolId, ClientId, and identityPoolId. 在测试期间,我通过一个单独的文件包含数据,用户可以查看并使用该文件来发现这些 Cognito id。
将这些 ID 公开给最终用户是否安全?
否则,我如何安全地做到这一点?
小智 7
AWS 在他们的论坛上发表了一篇文章来解决这个问题。
请注意,对于 userPoolId 和 clientId,只能调用未经身份验证的 API,例如:SignUp、authenticate、forgotPassword 等。因此,仅 userPoolId 和 clientId 不足以对您的用户池进行任何恶意活动。
来源是https://forums.aws.amazon.com/thread.jspa?threadID=245752&tstart=200
另一种方法是使用带有 Cognito 授权方的 API 网关来处理对其他后端服务(如 DynamoDB 或 S3)的调用,而不是直接使用来自前端 js 的调用。这里描述的是:
https://aws.amazon.com/blogs/mobile/aws-mobile-app-backend-with-hybrid-apps/
| 归档时间: |
|
| 查看次数: |
1598 次 |
| 最近记录: |