我们目前正在调查将AppSync用于Web应用程序的API表面。它与其他AWS服务很好地集成在一起,我们非常喜欢它。
但是,在设置Cognito时,我们注意到它使用localStorage来存储JWT。我们希望避免这种情况,因为如果我们遭受了XSS攻击或第三方库受到威胁,它就会打开攻击媒介来泄漏会话信息。我们宁愿将JWT存储在安全的,仅HTTP的cookie中,以避免从Javascript访问会话信息。但是,在浏览了几个小时的文档之后,我们不知道该怎么做。
我们正在尝试通过他们提供的Starter项目进行设置,以使其做出反应,但似乎无法确定它,甚至是不可能的。