如何在 AWS Cognito 中取消密码重置?

【问题标题】:How to cancel a password reset in AWS Cognito?如何在 AWS Cognito 中取消密码重置?
【发布时间】:2020-09-23 18:14:32
【问题描述】:

我使用 AWS Cognito 作为 React 应用程序中的身份验证提供程序。我注意到重置密码流程存在问题:

假设我忘记了密码并请求重设密码。 Cognito 向我发送了一封带有安全码的电子邮件。然后,我记住了密码,不想再更改了。我不能,因为即使我使用正确的密码登录,它仍然会将我发送到“设置新密码”页面。这似乎是一个安全问题,因为任何人都可以强制其他用户重置他们的密码,只要他们知道他们的电子邮件地址。

这是 Cognito 的设计,还是我使用 Cognito 时的错误?

【问题讨论】:

    标签: amazon-cognito reset-password


    【解决方案1】:

    您需要验证忘记密码/身份验证流程是如何在您的应用中实现的。重置密码页面不应发送NEW_PASSWORD_REQUIRED MFA 质询,也不应将用户状态更改为需要用户池中的新密码。

    ForgotPassword API 调用为用户生成重置代码,而ConfirmForgotPassword API 调用接受代码并允许用户更改密码。这些 API 调用不会更改用户重置密码的状态,也不会创建NEW_PASSWORD_REQUIRED MFA 质询。

    为了完整起见,密码重置代码一经发出就无法取消。 The code is valid for 24 hours,虽然发送另一个代码会使第一个代码无效。

    【讨论】:

    • 明确地说,我并不是要取消密码重置代码。我不想在发送代码后强制用户更改密码。听起来我需要审核我们的应用。
    • 感谢您的完整性检查。我想通了:我们使用的是 AdminResetPassword API 调用而不是 ForgotPassword。除了上述问题外,它的行为相似。
    猜你喜欢
    • 2017-05-27
    • 2020-03-05
    • 1970-01-01
    • 2022-08-13
    • 2019-03-19
    • 2023-03-05
    • 2018-09-14
    • 1970-01-01
    • 2017-04-08
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode