我正在使用带有 aws-amplify ( https://aws.github.io/aws-amplify/media/authentication_guide#enabling-federated-identities )的联合身份池,我想将域的范围限制为我的 google 域组织(例如 johndoe@foobar.com)。
似乎没有办法将其锁定在 Google API 控制台或 AWS Cognito 身份池设置上,只是暗示可以将 hd 参数附加到 google 请求以按域对其进行限制(这仍然会需要修改 aws-amplify 核心包),它仍然不安全,因为任何人都可以在没有高清的情况下发出相同的请求并获得对 cognito 的访问权限。
我的问题是:有没有办法限制 google oauth 密钥只允许 @foobar.com 电子邮件地址,或者使用 aws cognito 实现相同的限制?
amazon-web-services google-oauth google-domain-api amazon-cognito aws-amplify