Sel*_*jwa 5 amazon-web-services aws-cognito
有谁知道用户池 ID和客户端 ID是否敏感?目前我让他们坐在前端,只是想知道这是否危险。如果是,他们如何被利用?
age*_*420 16
不,他们不是。他们应该是公开的。唯一可以利用它们的方法是有人可以使用它们对您的用户池进行大量 SignUp 调用。但只要这些注册未经验证,这些注册就不会转换为活跃用户(除非您启用了用户的自动验证)。这不是 AWS 特定的问题。虚假注册是一个令人头疼的问题,即使没有使用 SignUp api 并且使用 PHP 后端进行注册,也会面临这个问题。面对这种情况的唯一方法是电子邮件/电话验证。
当然,如果您在用户池中禁用了注册,即只有管理员可以创建用户,那么这根本不是问题。
| 归档时间: |
|
| 查看次数: |
2908 次 |
| 最近记录: |