【发布时间】:2017-11-15 13:51:48
【问题描述】:
我是 cognito 的新手。我正在使用用户池并调用 userPool.getCurrentUser() 来获取当前用户,然后调用 getSession() 来获取 idToken、accessToken 和 refreshToken - 据我了解,这些由 cognito 自动存储在本地存储中(如确认即使没有互联网连接也能够访问这些令牌)。
我希望对以下 3 个问题进行一些澄清:
问题 1)我假设这些令牌是在用户上次进行身份验证时由 cognito 存储的(因此它们将按照默认值过期)?
问题 2) 文档指出:“我们强烈建议您在应用程序的上下文中保护传输和存储中的所有三个令牌。” - 当 cognito 已经将它们存储在本地时,我们为什么还要存储它们?
问题 3)如果 cognito 将令牌存储在本地,我们是否需要做任何事情来确保它们被安全存储?
【问题讨论】:
标签: security local-storage amazon-cognito