秘密是可选的,Specifying User Pool App Settings状态下的文档here:
创建应用时,您可以选择创建 该应用程序的秘密。如果为应用程序创建了秘密, 必须提供秘密才能使用该应用程序。 用JavaScript编写的基于浏览器的应用程序可能 不需要有秘密的应用程序。
创建应用后,无法更改秘密。 如果需要,您可以使用新秘密创建新应用程序 旋转您正在使用的秘密。你也可以 删除应用以阻止来自应用的访问权限 使用该应用客户端ID。
具体而言,他们为基于浏览器的基于应用程序的应用程序提供了例外,因为源代码随时可用,并且可以从那里获取秘密。
使用移动应用程序,从已编译的应用程序中搜索字符串可能类似于在基于浏览器的应用程序中查找秘密;要确保它的工作稍微多一些。
无论如何,移动应用程序的建议是放弃这个秘密吗?
答案 0 :(得分:0)
我建议保密,这样您就可以控制需要访问的应用程序以及需要阻止的应用程序。
如果您希望版本1.3或更低版本阻止访问并且只需要访问1.4,则可以为1.4创建新的应用密钥并删除1.3以下的所有机密并请求用户升级到最新应用以访问更新版本
如果存在错误或任何漏洞,这也有助于拒绝特定版本的访问。
希望它有所帮助。