我看了here:
您有一个移动应用程序。不要在应用程序中嵌入访问密钥,即使 在加密存储中。相反,使用 Amazon Cognito 来管理用户 应用中的身份
我想了解一些事情。如果我在 Cognito AWS 中使用未经身份验证的身份,是否与在应用程序中嵌入访问密钥一样,因为任何可以访问互联网的人都可以获得 AWS 凭证?
启用此选项意味着 任何可以访问互联网的人都可以获得 AWS 凭证。 未经身份验证的身份通常是未登录的用户 你的申请。通常,您为其分配的权限 未经身份验证的身份应该比那些未经身份验证的身份更具限制性 身份验证。
有人可以解释在应用中嵌入访问密钥和使用 Cognito 获取未经身份验证的身份之间的区别吗?
【问题讨论】:
标签: android authentication key amazon-cognito
让我解释清楚。
如果您对访问密钥 ID、秘密访问密钥和会话令牌进行硬编码,则意味着您在应用程序中嵌入了高度敏感的数据。一个例子如下:
AwsSessionCredentials awsCreds = AwsSessionCredentials.create(
"your_access_key_id_here",
"your_secret_key_id_here",
"your_session_token_here");
Cognito 身份池用于生成临时 AWS 访问密钥 ID、秘密访问密钥和会话令牌。这是由GetId 和GetCredentialsForIdentity API 调用返回的。它们是未签名(非 SigV4 签名)的 API 调用,您可以检索临时 AWS 凭证,而无需在 API 调用中指定登录参数映射作为参数。
建议使用 Cognito 身份池 API 调用(由 AWS STS 提供),而不是对敏感数据进行硬编码,因为每个应用程序都可能容易受到逆向工程。
【讨论】: