我正在与Unity开发一款移动应用程序游戏,目前我正在为Cognito Sync实现AWS NET SDK,以允许玩家在重新安装应用程序或切换手机时保持保存数据在线。
我担心Cognito Sync的安全性,因为它似乎只需要我给它一个身份池id,它就可以自动连接到Cognito同步服务;而我正在使用文档中的指南作为参考。
这让我很担心,因为我可以想象,对身份池id进行逆向工程很容易,然后在流氓应用程序中使用它,而无需支付托管费用,同时为我收到潜在的巨额账单。
AWS Cognito是否有任何内置机制来防止这种情况发生?如果没有,我该如何亲自预防?
谢谢。
在开始实际回答之前,我想澄清一件事。Cognito Sync API是经过身份验证的API,只能使用Cognito Federated Identity服务的临时AWS凭据的有效开发者AWS凭据进行调用。
您的身份池id与Cognito Federated identity服务一起用于获取临时凭据。这些临时凭据是根据您生成的身份类型提供的。经过身份验证的标识是首先使用支持的身份验证提供程序之一,然后使用获取凭据的标识。未经身份验证或访客身份直接与服务通信以获取临时凭据。与这些凭据相关联的权限源自开发人员为标识池配置的相应角色。
构建安全应用程序的建议方法是确保您在应用程序中使用经过身份验证的身份。未经身份验证的角色应仅用于在需要时授予只读访问权限。
我希望这是有道理的。您可以在我们的开发指南中阅读更多关于这些概念的内容。