我想问一下,在调用API的移动设备上存储 AWS临时凭证(Access Key ID
,Secret Access Key
,Session Token
)是否安全?
许多消息来源将此描述为授权过程的必要部分。根据下面提到的AWS资源图片:
我说的是可以通过assumeRoleWithWebIdentity
或getCredentialsForIdentity
获取的凭据。
使用JWT代码来防止破解这些凭据并获得对其资源的安全访问权限是否更安全?
答案 0 :(得分:0)
从STS获得的凭据与JWT令牌没有区别(在高级别)。它们都是临时的,如果“黑客”获得任何一种凭证,结果都是一样的。一般使用临时凭证的一个主要好处是,如果/当它们被泄露时,它们仅在很短的时间内(通常是一小时)有效。
在设备上存储临时凭证是一个单独的主题,但JWT令牌与STS会话凭证没有任何不同。
我没有任何链接,但我确信有关于在设备上的应用程序中存储会话凭据的良好公开讨论和文档。