Cognito身份验证是否通过网络发送哈希?

时间:2019-01-16 07:33:32

标签: amazon-web-services amazon-cognito aws-amplify

我正在使用AWS Amplify(如果有任何区别,我认为后端API会对此进行控制),并且想了解用户登录密码时是否以明文形式发送(尽管在TLS连接中)或是否进行了哈希处理-如果是的话,哈希算法是什么。

有人知道吗?谢谢。

1 个答案:

答案 0 :(得分:1)

根据我的经验(我没有从AWS编写任何东西来支持此操作),Amplify发送USER_AUTH,后跟类似于SSH的密码询问。这意味着密码不是通过网络发送的,不是纯文本的,也不是哈希的。该方法将类似于here所解释的方法:客户端通过回答挑战来证明它具有密码。使用了哈希机制,但是所使用的哈希不仅仅是密码的哈希。