在 S3 上托管的反应(Web)应用程序中使用类似“aws-sdk”(和 process.env)的安全性如何?

【问题标题】:How secure is using something like `aws-sdk` (and process.env) in a react (web) app hosted on S3?在 S3 上托管的反应(Web)应用程序中使用类似“aws-sdk”(和 process.env)的安全性如何?
【发布时间】:2019-10-02 14:08:48
【问题描述】:

对于完全在 AWS 中进行全栈开发,我仍然很陌生,并且从未真正探索或尝试过利用我的任何前端 react、react-native 项目。

坦率地说,aws-amplify 提供了一个非常瘦的客户端层,用于在 Cognito 中进行身份验证。但是与您在aws-sdk 中可以逃脱的东西相比,您非常有限,例如See this issue 有人试图从 Amplify 中的身份池中列出用户,但随后该评论者出现并直接包含 aws-sdkAWS.CognitoIdentityServiceProvider 接口

我只是好奇从前端暴露或启用诸如aws-sdk 之类的东西有多么危险。我很确定这是一个坏主意,但这些天我对这个无服务器垃圾的世界一无所知。 :/

【问题讨论】:

    标签: node.js reactjs amazon-web-services aws-sdk amazon-cognito


    【解决方案1】:

    就像其他任何事情一样,这在很大程度上取决于。只要您不提交 .env 文件(这可能会导致错误),而是通过 SSM Parameter Store 注入这些变量。使用 cloudformation 或 terraform 之类的东西将它们拉下来,你可以减少你的足迹,并且不太容易出现“哎呀,我不是故意的”错误。

    如果您使用 ECS Fargate、ECS EC2、Lambda 或任何其他原生 AWS 服务,这些参数已经存在紧密耦合。如果您完全是前端并且依赖于浏览器,那么像 Amplify 之类的东西会让这更加可行和安全。

    【讨论】:

      猜你喜欢
      • 2018-05-22
      • 2018-10-23
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-02-03
      • 2017-03-22
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode