0
我正在使用客户端Cognit Javascript SDK。部分设置需要配置region, UserPoolId, ClientId, and identityPoolId。在测试过程中,我通过一个单独的文件包含数据,用户可以查看并使用它来发现这些Cognito ID。公开AWS Cognito ID是否安全?
将这些ID暴露给最终用户是否安全?
否则,我该如何安全地做到这一点?
A
回答
0
AWS在他们的论坛上发表了一篇文章,解决了这个问题。
请注意,userPoolId和的clientId,只有未经身份验证的API可以调用,用于如:注册,认证,forgotPassword等,所以userPoolId和单独客户端ID是不够的,做你的用户群的任何恶意活动。
源是https://forums.aws.amazon.com/thread.jspa?threadID=245752&tstart=200
一种替代方法是使用API网关与Cognito授权用于处理到其它后端服务(如DynamoDB或S3)的呼叫,而不是直接使用这些从前端JS 。这是这里描述:
https://aws.amazon.com/blogs/mobile/aws-mobile-app-backend-with-hybrid-apps/
0
如果您使用的是身份验证身份(当您使用Cognito用户池,那么它是身份验证身份),那么即使攻击者获得了identityId,他们也无法获得AWS凭证,而不提供只能使用id令牌通过提供认证凭证(用户名和密码)获得。 P:始终建议使用经过身份验证的身份,即使您有未经身份验证的身份的用例,最好将未经身份验证的身份的访问权限保持为最小。
+0
我使用验证的身份。我不暴露我的新闻凭据。我如何避免暴露'region,UserPoolId,ClientId和identityPoolId'? –
相关问题
- 1. 在URL中公开自动递增ID是否安全
- 2. 公开显示phpinfo()是否安全?
- 3. 在我的html中显示AWS认知池ID是否安全?
- 4. 公开mongodb和安全性的ID
- 5. AWS Cognito - 用户信息ID
- 6. 是否可以撤销AWS Cognito IdToken?
- 7. 公开用户自己的会话ID是不安全的吗?
- 8. 'aws cognito'的硬编码“identity-pool id”在安全性方面有危险吗?
- 9. 向公众揭露顶点ID是否安全?
- 10. 是否打开()。read()安全?
- 11. 只分享公钥是否安全?
- 12. AWS Cognito,Angular,不识别身份池ID
- 13. 在属性中公开IEnumerable是否安全?
- 14. 是否使用Web服务公开.NET DAL添加安全性?
- 15. AWS Cognito GetCredentialsForIdentity
- 16. AWS Cognito开发者认证在PHP
- 17. AWS Cognito生成的令牌URL安全吗?
- 18. AWS Cognito JWT令牌验证
- 19. AWS Cognito集成
- 20. AWS Cognito for Xamarin
- 21. 通过lastInsertId()获取ID是否安全?
- 22. AWS Cognito Mock
- 23. AWS Lambda Cognito访问
- 24. AWS安全组
- 25. Locale.setDefault()是否安全?
- 26. AWS Cognito adminCreateUser从LAMBDA
- 27. 专为iOS 6开发是否安全?
- 28. 使用ViewPager开发是否安全?
- 29. NS_ROOT_CLASS对于IOS开发是否“安全”?
- 30. 对于iPhone开发,strncpy是否安全?
不,这不是安全 –