Amazon web services 存储Cognito标识池ID的最佳实践_Amazon Web Services_Amazon Cognito

Amazon web services 存储Cognito标识池ID的最佳实践

amazon-web-services

Amazon web services 存储Cognito标识池ID的最佳实践,amazon-web-services,amazon-cognito,Amazon Web Services,Amazon Cognito,当使用Cognito标识池（联邦标识）时，存储我的用户需要访问的池的唯一ID的最佳实践是什么？我认为它们是秘密，因为它们需要与获取安全资源（例如GetId、GetCredentialsForIdentity）凭据所需的API操作一起使用，这些资源是公共API 评论中所说的是正确的概念。标识ID/标识池ID本身不是敏感信息。标识ID定义为标识池的唯一标识符，可以在应用程序的客户端对其进行操作为了安全起见，您需要确保以安全的方式将来自用户池的JWT令牌传递给标识池API调用（或者无论您从何处获得令

当使用Cognito标识池（联邦标识）时，存储我的用户需要访问的池的唯一ID的最佳实践是什么？我认为它们是秘密，因为它们需要与获取安全资源（例如GetId、GetCredentialsForIdentity）凭据所需的API操作一起使用，这些资源是公共API

评论中所说的是正确的概念。标识ID/标识池ID本身不是敏感信息。标识ID定义为标识池的唯一标识符，可以在应用程序的客户端对其进行操作

为了安全起见，您需要确保以安全的方式将来自用户池的JWT令牌传递给标识池API调用（或者无论您从何处获得令牌，无论是Facebook/Twitter/等等）

评论中所说的是正确的概念。标识ID/标识池ID本身不是敏感信息。标识ID定义为标识池的唯一标识符，可以在应用程序的客户端对其进行操作

为了安全起见，您需要确保以安全的方式将来自用户池的JWT令牌传递给标识池API调用（或者无论您从何处获得令牌，无论是Facebook/Twitter/等等）

IdentityPoolIds

用于客户端，它只是指向服务的指针，而不是解密密钥或密码。identityPoll的安全性取决于您附加到它的角色和策略。请阅读本文。虽然我不明白为什么选择Postgres而不是DynamoDB。

IdentityPoolIds

用于客户端，但它只是指向服务的指针，而不是解密密钥或密码。identityPoll的安全性取决于您附加到它的角色和策略。请阅读本文。虽然我不明白为什么选择博士后而不是DynamoDB。这有点道理，但这是我的困惑。假设我有两个用户，我们称他们为“abc”和“xyz”。用户“abc”是普通用户，没有特殊权限。用户“xyz”是一个管理员用户，他们有一些额外的特权来做一些普通用户不能做的事情，例如调用特定的API端点。如果用户“abc”以某种方式发现管理员用户（如“xyz”）使用的Cognito标识池id，理论上他们可以通过对Cognito进行正确的API调用来获得临时cred，从而提升自己的权限。还是我想的不对？你确实是对的。出于同样的原因，您需要在“登录”地图后面保护此类特权（管理员/机密信息）。登录映射确保只有经过身份验证的用户才能利用授权制裁。请参阅此API文档以了解更多有关的信息。如果您还有其他问题，请随时提问。在我的回答中，当我谈到传递给身份池的JWT令牌时，我基本上参考了登录地图。假设我有两个用户，我们称他们为“abc”和“xyz”。用户“abc”是普通用户，没有特殊权限。用户“xyz”是一个管理员用户，他们有一些额外的特权来做一些普通用户不能做的事情，例如调用特定的API端点。如果用户“abc”以某种方式发现管理员用户（如“xyz”）使用的Cognito标识池id，理论上他们可以通过对Cognito进行正确的API调用来获得临时cred，从而提升自己的权限。还是我想的不对？你确实是对的。出于同样的原因，您需要在“登录”地图后面保护此类特权（管理员/机密信息）。登录映射确保只有经过身份验证的用户才能利用授权制裁。请参阅此API文档以了解更多有关的信息。如果您还有其他问题，请随时提问。在我的回答中，当我谈到传递给标识池的JWT令牌时，我基本上是指登录地图。