使用Cognito身份池(联合身份)时,存储用户需要访问的池的唯一ID的最佳实践是什么?我将它们视为秘密,因为它们需要与获取公共资源的安全资源(例如GetId,GetCredentialsForIdentity)一起使用的凭证所需的API动作一起使用。
答案 0 :(得分:0)
Madeo在评论中所说的是正确的概念。身份ID /身份池ID本身不是敏感信息。身份ID被定义为身份池的唯一标识符,并且可以在应用程序的客户端中进行操作。
出于安全性考虑,您需要确保将用户池中的JWT令牌以安全的方式传递给Identity Pool API调用(或从任何地方获得令牌的地方,例如Facebook / Twitter / etc)。