Fatal编程技术网
  • amazon-web-services/
  • Amazon web services danilop/LambdAuth AWS Lambda Github项目的安全性如何?

Amazon web services danilop/LambdAuth AWS Lambda Github项目的安全性如何?

amazon-web-services security aws-lambda

Amazon web services danilop/LambdAuth AWS Lambda Github项目的安全性如何?,amazon-web-services,security,aws-lambda,aws-sdk,Amazon Web Services,Security,Aws Lambda,Aws Sdk,我和我的团队几个月来一直在开发我们的销售清单应用程序,现在已经进入测试阶段,有很多用户。我们即将实施以下LambdAuth示例项目(),这是一个AWS示例,为我们的用户提供注册和登录的方法,但我们担心潜在的安全问题,因为我们的用户帐户可能包含敏感信息。所述加密是“密码不以明文形式保存在数据库中,而是使用专用的随机salt(通过HMAC-SHA1)对每个密码进行“加密” 对于我们庞大的用户群来说,这是否足够安全?它容易被黑客攻击吗?除了本项目之外,是否还需要进行进一步的加密工作,以便为用户提供合理

我和我的团队几个月来一直在开发我们的销售清单应用程序,现在已经进入测试阶段,有很多用户。我们即将实施以下LambdAuth示例项目(),这是一个AWS示例,为我们的用户提供注册和登录的方法,但我们担心潜在的安全问题,因为我们的用户帐户可能包含敏感信息。所述加密是“密码不以明文形式保存在数据库中,而是使用专用的随机salt(通过HMAC-SHA1)对每个密码进行“加密”

对于我们庞大的用户群来说,这是否足够安全?它容易被黑客攻击吗?除了本项目之外,是否还需要进行进一步的加密工作,以便为用户提供合理数量的密码安全性

我是这个项目的作者。我可以确认它从未被安全专家检查过,我的目的更多的是给出如何构建无服务器应用程序的想法,而不是在生产环境中使用它。我的建议是看看几个月前推出的新Cognito用户池,它是一个完整的托管服务,具有更多的功能:
我是这个项目的作者。我可以确认它从未被安全专家检查过,我的目的更多的是给出如何构建无服务器应用程序的想法,而不是在生产环境中使用它。我的建议是看看几个月前推出的新Cognito用户池,它是一个完整的托管服务,具有更多的功能:

感谢您的回复!我之所以希望使用您的项目而不是Cognito,是因为我想让开发人员拥有经过身份验证的权限,而这不是Cognito的直接要求。如果我正确理解您的需求,您可以使用Cognito用户池管理用户(或外部身份验证,如Twitter、Facebook或任何支持OpenID Connect或SAML的提供商)然后可以访问开发人员身份验证。如果你想使用我的框架,请与安全专家仔细检查。谢谢你的回复!我之所以希望通过Cognoto使用你的项目,是因为我想拥有开发人员身份验证机构,而不是Cognoto。如果我理解你的意思根据您的要求,您可以使用Cognito用户池(或外部身份验证,如Twitter、Facebook或任何支持OpenID Connect或SAML的提供商)管理用户,然后访问开发人员身份验证。如果您想使用我的框架,请与安全专家仔细检查。