Javascript AWS Cognito标识池:AWS凭据过期/续订
我正在构建一个AWS支持的站点,广义上讲,它具有以下功能:Javascript AWS Cognito标识池:AWS凭据过期/续订,javascript,amazon-web-services,amazon-cognito,Javascript,Amazon Web Services,Amazon Cognito,我正在构建一个AWS支持的站点,广义上讲,它具有以下功能: 根据Cognito用户池(该池由第三方SAML提供程序支持)对用户进行身份验证,并向他们提供令牌 使用Cognito标识池授予用于其他服务的用户凭据 允许用户使用上面的凭据直接从前端S3客户端执行一系列长期运行的S3上载 我正试图弄清楚我必须与代币和凭证进行的交互。我很清楚我要做什么: 我可以使用它们来调用标识池,并获得可以用于S3的AWS凭据 如果其他令牌在我完成之前过期,我可以使用刷新令牌刷新它们 这些令牌的过期详细信息在上面的链接
用户池仅用于用户管理。用户与AWS服务和资源的任何交互都是通过标识池完成的。您可以通过标识池分配角色。 要回答您的两个具体问题:
就我所知,在基于浏览器的服务器上使用刷新令牌不是不安全吗application@ArunK是的,这被认为是不好的做法。实现这一点的最佳方法是使用授权码授权,而根本不向前端发送任何令牌。前端的Amplify库也可以处理授权代码授予。感谢您对第1点的回复:1hr是否同时适用于用户池身份验证令牌和id池aws令牌?关于第2点:这个自动刷新是否同时包括用户池身份验证令牌和id池aws令牌?如果我有一个需要1小时以上的多部分上传,会发生什么?是的,auth和id令牌都有1小时的有效性。刷新令牌有更多,您可以控制其持续时间。至于自动刷新,令牌在使用会话对象进行任何调用之前都会被刷新,因此即使使用多部分上载,您也不会遇到任何令牌过期的问题。