在我们的应用程序中,我们实现了多租户。现在,我们在后端所做的是
在登录API中,在后端中的adminInitateAuth之后,我们将生成用于访问AWS服务的身份池令牌(在本例中,我们使用dynamodb)。
因此,为了根据登录的用户启动dynamodb,我们将令牌和机密传递给需要DB访问的API。因此,我们将使用那些Cognito身份凭证实例化dynamodb。
但是问题是,我们在Login API的响应中传递了除“访问令牌”以外的“秘密密钥,访问密钥ID,会话令牌和身份池ID”。因此,对于每个API访问,前端都会将这些凭据传递给后端。在这种情况下,为了根据登录的用户启动dynamodb。
问题是:
这是错误的方式吗?那么最好的方法是什么?
我们应该在每个API调用上生成Cognito身份凭证吗?
我听说只有访问令牌应该传递到前端,而不是其他生成的令牌。那么,登录后如何实现安全的API调用?我应该通过什么以及如何通过? (为了使用Cognito身份凭证访问dynamodb)(2)
如何保留用户? (谈论后端)