我有一个适用于iOS和Android的移动应用程序,但现在在配置API时,我不知道什么时候应该使用Cognito来授权请求,什么时候应该用API密钥,或者我必须同时使用它们吗?顺便说一下,当我需要获取/发送用户数据时,我会在请求主体中附加用户ID。
这是一张结构看起来像的图片
AWS结构
我会使用Cognito:这样你就可以信任转发给Lambda函数的用户标识符。即使您在有效负载中发送userId,但这完全是由用户/客户端构建的,恶意客户端可能会发送任何值,从而带来安全风险。还有API密钥的安全性需要考虑。
顺便说一句,你的私有Lambdas不必在公共子网中(基于你所附的图表(。