我的项目是无服务器的,用户将使用来自cognito的托管登录UI登录,我们仅在oauth流程中使用implicit grant,登录成功后ui会重定向浏览器,但我很担心关于用户数据可能被泄漏的信息,我知道重定向哈希不包含刷新令牌,但仍然有可能在令牌的生命周期内以某种方式公开它。
所以我想知道是否有一种方法可以通过简单的true或false来验证用户是否仍使用cognito登录。.我们不使用任何SDK,并且我们不打算使用它们。
如果这不可能,那么是否可以将/userInfo响应的响应范围更改为仅显示几个字段?..仅显示email和password
答案 0 :(得分:0)
最后,我没有为项目使用import matplotlib
import matplotlib.pyplot as plt
fig, ax = plt.subplots()
ax.set_xscale('log')
ax.set_yscale('log')
ax.set_xlim([2e-2, 2e-1])
ax.set_ylim([2e+1, 2e+3])
ax.plot([0.02, 0.1, 0.2], [20, 1000, 2000])
ax.xaxis.set_major_locator(matplotlib.ticker.LogLocator(subs=(1,2,)))
ax.xaxis.set_major_formatter(matplotlib.ticker.ScalarFormatter())
ax.xaxis.set_minor_formatter(matplotlib.ticker.NullFormatter())
plt.show()
宣誓流程,现在我使用implicit grant处理后端的cognito会话,并且仅将数据保留在服务器端
因此,基本上我在我的项目的ELB中有一条规则,当访问路径时会触发身份验证,ELB的控制台使其易于配置,并在身份验证时创建客户端会话cookie如果成功,则ELB可以轻松了解通过cognito向保护路由发出请求的客户端。认证成功后,Load Balancer会将认证数据作为请求标头发送到服务器,从那里可以轻松地验证和解码所需的用户数据。