我正在使用AWS Cognito,Lambda,S3及其更多服务构建无服务器网站。登录页面中的HTML / JS具有认知池ID。这有多安全?我知道隐藏敏感内容是最佳做法。但这不是客户端服务器。它的所有客户,如果我是诚实的。我确实通过lambda调用访问了一些敏感数据。但是,即使此调用也需要一些纯文本敏感的输入,例如用户ID。
<script src="https://sdk.amazonaws.com/js/aws-sdk-2.3.7.min.js"> </script>
<script>
AWS.config.region = 'XX-XXXX-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'XX-XXXX-1:XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX'
});
var lambda = new AWS.Lambda();
</script>
我真的不喜欢poolID可见。攻击者可以复制此文件,并强行使用我的Cognito ID。有任何隐藏的想法吗?
amazon-s3 amazon-web-services amazon-cognito aws-sdk aws-lambda