클라이언트 측 Cognito Javascript SDK를 사용하고 있습니다. 설정의 일부는 region, UserPoolId, ClientId, and identityPoolId으로 구성해야합니다. 테스트하는 동안 사용자가 살펴보고 이러한 Cognito ID를 찾는 데 사용할 수있는 별도의 파일을 통해 데이터를 포함합니다.AWS Cognito ID를 공개해도 안전합니까?
이러한 ID를 최종 사용자에게 공개해도 안전합니까?
그렇지 않으면 어떻게해야 안전하게 할 수 있습니까?
포럼에 AWS의 게시물이 있습니다.
userPoolId 및 클라이언트 ID와 유의하시기 바랍니다가 만 인증되지 않은 API를 예를 들어, 호출 할 수 있습니다 등 forgotPassword, 가입은, 인증 userPoolId 그래서 혼자 된 ClientID는 사용자 풀에 악의적 인 활동을하기에 충분하지 않습니다. 대안 (DynamoDB의 또는 S3 같은) 다른 백엔드 서비스 호출을 처리하는 대신에 프론트 엔드 JS로부터 직접 그 사용에 대한 Cognito의 인증 자와 API 게이트웨이를 사용하는 https://forums.aws.amazon.com/thread.jspa?threadID=245752&tstart=200
이다
출처는 . 즉 여기에 설명 된 것 :
https://aws.amazon.com/blogs/mobile/aws-mobile-app-backend-with-hybrid-apps/
인증 된 ID (Cognito User Pools를 사용할 때 인증 된 ID)를 사용하는 경우 공격자가 identityId를 보유하더라도 ID 토큰을 제공하지 않으면 AWS 자격 증명을 얻을 수 없습니다 인증 자격 증명 (사용자 이름 및 암호)을 제공하여 얻을 수 있습니다.
P.S 항상 인증 된 ID를 사용하는 것이 좋으며 인증되지 않은 ID에 대한 사용 사례가있는 경우에도 인증되지 않은 ID 역할에 대한 액세스를 최소한으로 유지하는 것이 좋습니다.
안전하지 않습니다. 나는 나의 aws 신임장을 드러내지 않을 것이다. 'region, UserPoolId, ClientId 및 identityPoolId' 노출을 피하려면 어떻게해야합니까? –
아니, 내가 인증 ID를 사용하고 –