我正在探索各种选项,以保护从各种平台(包括移动,Web和OTT应用程序)的最终用户应用程序调用的基于REST的API的安全。
应用程序具有自己的可选登录过程,尽管用户也可以匿名使用该应用程序。
我们是一家AWS商店,我正在寻找使用Cognito和Lambda @ Edge(可能使用JWT令牌)的更通用解决方案。
但是,我无法拼凑出从Cognito发行JWT令牌的选项,尤其是考虑到我们不需要任何形式的登录时。是否有使用某种形式的旋转秘密的选项?还有其他选择吗?
答案 0 :(得分:0)
在API网关中,您可以使用Cognito令牌保护API。
您可以阅读更多here。