我正在使用AWS Cognito用于我的应用程序中的身份验证。Cognito提供完整的客户端身份验证。但是,我们需要将凭据存储在.env文件中,该文件可从浏览器访问。
如果我正在构建企业应用程序并且安全性对我很重要,那么使用AWS Cognito进行身份验证是否安全?
对于AWS认知,身份验证发生在服务器端。不是在客户端。在客户端,我们为用户创造了通过凭据登录的机会,然后凭据将被发送到AWS Cognito进行身份验证。结果是接受或拒绝。
Cognito本身是一个服务,你可以建立一个安全的身份基础-但不是你所建议的方式。
将静态凭据存储到第三方api中,可以被(未)经过身份验证的用户轻松访问,这是一种糟糕的安全实践.
Cognito的安全性不是你最大的问题,我的建议是首先为你的静态凭据找到一个更好的解决方案。有时像API密钥这样的静态凭据是无法避免的,但是你不应该把它们暴露给你的最终用户。。将它们存储在AWS秘密管理器或系统管理器参数存储中,并在需要时检索它们。如果可能的话,只将它们存储在内存中,永远不要将它们发送给客户端。