我应该为移动应用程序使用 cognito 应用程序密码吗？

Question

秘密是可选的，here 下的文档Specifying User Pool App Settings 状态：

创建应用时，您可以选择创建 该应用程序的秘密。如果为应用创建了秘密， 必须提供密码才能使用该应用程序。 用 JavaScript 编写的基于浏览器的应用程序可能 不需要有秘密的应用程序。

创建应用后无法更改机密。 如果需要，您可以使用新密钥创建新应用 轮换您正在使用的密钥。你也可以 删除应用程序以阻止来自以下应用程序的访问 使用该应用客户端 ID。

他们特别指出了基于基于浏览器的应用程序的应用程序的例外情况，因为源代码很容易获得并且可以从那里获取秘密。

对于移动应用程序，从已编译的应用程序中搜索字符串可能类似于在基于浏览器的应用程序中查找秘密；可以肯定的是，这需要做更多的工作。

无论如何，是否建议移动应用程序放弃这个秘密？

Answer 1

我建议使用秘密，这样您就可以控制需要获得访问权限和需要被阻止的应用程序。

如果您希望 1.3 或更低版本阻止访问并且只需要访问 1.4，您可以为 1.4 创建一个新的应用密钥并删除 1.3 以下的所有密钥并要求用户升级到最新的应用程序以访问更新的版本.

如果特定版本有错误或任何漏洞，这也有助于拒绝访问。

希望对你有帮助。