我正在制作一个将使用 AWS 服务作为后端的应用程序。 我想将代码推送到 github。 我知道这不应该推送任何嵌入凭据的代码。https://mobile.awsblog.com/post/Tx2XEKZCNBM7U64/How-Amazon-Cognito-Keeps-Mobile-App-Users-Data-Safe 阅读本文后,我认为在源代码中包含IdentityPoolID应该是安全的。 我搜索了github,看到许多包含ID的文件。 是否可以对危及我的 AWS 账户的 ID 执行任何操作? 我应该只创建 .h 文件并将该文件添加到 .gitignore 中吗?
从某种意义上说,没有人可以窃取您的身份(您的 AWS 计数详细信息、访问密钥和私有密钥),这是安全的。但是,从 GitHub 下载并运行应用程序的开发人员将通过 Cognito 访问您的 AWS 服务。您的帐户将被收取费用。当然,您应该注意哪些其他 AWS 权限与 Cognito 角色相关联。我在 GitHub 上有一个 AWS 开源项目,但我根本不发布任何 AWS 标识符。
你永远无法确定将其提交到 GitHub 是否安全,但我想提出另一个问题。当您开源应用程序时,理想情况下,您希望其他人能够获取副本并安装它以满足他们的需求。这意味着您的设置不应该有任何配置部分,但应该有带有示例字符串的通用文件。
话虽如此,我建议您执行.gitignore解决方案并add -f默认的.h文件。