在这篇文章之后,我正试图用设置AWS Cognito用户池以进行无密码登录。然而,条件之一是";只允许自定义身份验证";。但我需要我的应用程序允许用户使用其他几个提供程序(oAuth和SAML(以及无密码登录。
我如何确保用户不能以某种方式使用在上述过程中生成的随机密码登录?还是有不同的方法?
我将引用相同的来源,但使用更多上下文
[用户池]有一个配置为"仅允许自定义身份验证"。这是因为当用户注册时,亚马逊Cognito需要密码。我们将为此提供一个随机字符串。我们不希望用户使用此密码实际登录后来
您的用户池可以有多个应用程序客户端。因此,您将有一个用于OAuth和SAML等的应用程序客户端,另一个用于passwordless。两个应用程序客户端都会向同一用户池提供令牌。
同样值得质疑的是,他们只强制执行自定义身份验证的前提。他们的理由是,他们为用户创建了一个随机密码,永远不会与他们共享,理论上可以用来登录。我想你可以认为这是一种安全风险,但除非你在经营一家银行或其他什么,否则对我来说,这听起来并没有什么不同。如果你使用了一个长密码安全生成器,我真的看不到有人猜测你是用户的"秘密"密码。Cognito内置暴力保护。