我正在用AWS Cognito,Lambda,S3和其他十几种服务构建一个无服务器的网站。我的登录页面中的HTML/JS具有认证池ID。这有多安全?我知道隐藏敏感内容是最好的做法。但这不是客户端服务器。它的所有客户,如果我诚实。我确实通过lambda调用访问了一些敏感数据。但即使这个调用需要一些明文敏感的输入,例如用户ID。在我的html中显示AWS认知池ID是否安全?
<script src="https://sdk.amazonaws.com/js/aws-sdk-2.3.7.min.js"> </script>
<script>
AWS.config.region = 'XX-XXXX-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'XX-XXXX-1:XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX'
});
var lambda = new AWS.Lambda();
</script>
我真的不喜欢poolID可见。攻击者可以复制此内容,并强制执行我的认证ID。任何想法隐藏它?
Cognito用户池是绝对支持的SDK核心的Android,iOS和JavaScript的软件开发工具包之外,什么被你链接的帖子的意思是,那些软件开发工具包有更多的帮手,让生活容易一点,而其他SDK则不会。您可以使用大多数SDK中包含的直接API来连接并使用用户池,而无需使用移动SDK便捷方法。 虽然这张海报并未提及Cognito用户池,但Cognito联合身份。 –