AWS Cognito 密码错误限制

Question

我们目前正在开发一款目前处于测试版的移动应用程序，并计划很快将其发​​布到 App Store，该应用程序主要仅支持 iOS 移动设备

最近一位外部用户在登录界面疯狂输入了错误的密码，进一步超出了限制，导致内部服务器错误，最终将用户锁定在应用之外

默认错误消息来自 AWS Cognito，用户需要填写手机号码和密码才能登录应用程序

1. AWS Cognito 允许用户输入错误密码的次数。有限制吗
2. 是否有任何文档可以清楚地解释我的问题
3. 有没有办法让用户一开始就知道，只有 5 次尝试尝试

非常感谢任何帮助

Answer 1

根据 AWS Cognito 文档，对登录尝试没有限制，但它们确实通过请求速率限制和指数超时来保护登录端点：

我们允许五次失败的登录尝试。之后，我们开始临时锁定，从 1 秒开始，时间呈指数增长，每次尝试失败后加倍，最多 15 分钟。临时锁定期间的尝试将被忽略。在临时锁定期之后，如果下一次尝试失败，则新的临时锁定开始，持续时间是上次的两倍。等待大约 15 分钟而不进行任何尝试也将重置临时锁定。请注意，此行为可能会发生变化。

https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-authentication-flow.html