私はクライアントサイドのCognito Javascript SDKを使用しています。設定の一部にはregion, UserPoolId, ClientId, and identityPoolIdを設定する必要があります。テスト中に、私はこれらのCognito IDを発見するためにユーザが調べて使用できる別のファイルを介してデータを含めています。AWS Cognito IDを公開するのは安全ですか?
これらのIDをエンドユーザーに公開することは安全ですか?
それ以外の場合はどうすれば安全ですか?
フォーラムにAWSの記事があります。
userPoolIdとのclientIdを持つ、唯一の認証されていないAPIは例えばのために、呼び出すことができることに注意してください:新規アカウント、認証、forgotPasswordなどだから、userPoolIdとのclientIdだけでは、ユーザーのプール上の任意の悪意のある活動を行うのに十分ではありません。
ソースはhttps://forums.aws.amazon.com/thread.jspa?threadID=245752&tstart=200
の代替ではなく、フロントエンドのjsから直接それらを使用しての(DynamoDBのか、S3のような)他のバックエンドサービスへの呼び出しを処理するためCognitoの承認者にAPIゲートウェイを使用することです。それは、ここで説明しています:
https://aws.amazon.com/blogs/mobile/aws-mobile-app-backend-with-hybrid-apps/
認証されたIDを使用している場合(Cognito User Poolsを使用している場合、認証されたID)、攻撃者がIDIを保持しても、IDトークン認証資格情報(ユーザー名とパスワード)を入力して取得します。
P.S:認証されたIDを使用することを常にお勧めします。また、認証されていないIDのユースケースがある場合でも、認証されていないIDの役割でアクセスを最小限に保つ方が良いです。
安全ではありません。私は私のawsの資格情報を公開していません。 'region、UserPoolId、ClientId、およびidentityPoolId'の公開を避けるにはどうしたらいいですか? –
はありません、それは私が認証されたIDを使用しています –