存储在客户端设备AWS临时凭证(STS)上是否安全?
我想问一下,在调用API的移动设备上存储 AWS临时凭证(Access Key ID,Secret Access Key,Session Token)是否安全?
许多消息来源将此描述为授权过程的必要部分。根据下面提到的AWS资源图片:
我说的是可以通过assumeRoleWithWebIdentity或getCredentialsForIdentity获取的凭据。
使用JWT代码来防止破解这些凭据并获得对其资源的安全访问权限是否更安全?
1 个答案:
答案 0 :(得分:0)
从STS获得的凭据与JWT令牌没有区别(在高级别)。它们都是临时的,如果“黑客”获得任何一种凭证,结果都是一样的。一般使用临时凭证的一个主要好处是,如果/当它们被泄露时,它们仅在很短的时间内(通常是一小时)有效。
在设备上存储临时凭证是一个单独的主题,但JWT令牌与STS会话凭证没有任何不同。
我没有任何链接,但我确信有关于在设备上的应用程序中存储会话凭据的良好公开讨论和文档。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?