javascript-公开AWS Cognito ID是否安全？

我正在使用客户端Cognito Javascript SDK.设置的一部分需要配置区域,UserPoolId,ClientId和identityPoolId.在测试期间,我通过一个单独的文件包含数据,用户可以浏览并使用它们来发现这些Cognito ID.

将这些ID公开给最终用户是否安全？

否则,我该如何安全地这样做？

解决方法:

AWS在他们的论坛上有一篇文章解决了这个问题.

Please note that with userPoolId and clientId, only unauthenticated APIs can be called, for eg: SignUp, authenticate, forgotPassword etc. So userPoolId and clientId alone are not enough to do any malicious activity on your user pool.

来源是https://forums.aws.amazon.com/thread.jspa?threadID=245752&tstart=200

一种替代方法是将API Gateway与Cognito授权者一起使用,以处理对其他后端服务(例如DynamoDB或S3)的调用,而不是直接使用前端js的调用.在这里描述：

https://aws.amazon.com/blogs/mobile/aws-mobile-app-backend-with-hybrid-apps/

标签：amazon-web-services,security,amazon-cognito,javascript
来源： https://codeday.me/bug/20191118/2025929.html