Я создаю безсерверный веб-сайт с AWS Cognito, Lambda, S3 и еще десятком своих услуг. Мой HTML/JS на моей странице входа имеет идентификатор пула cognito. Насколько это безопасно? Я знаю, что лучше всего скрывать чувствительные вещи. Но это не клиент-сервер. Его весь клиент, если честный. Я получаю доступ к некоторым конфиденциальным данным через лямбда-вызов. Но даже для этого вызова требуются некоторые текстовые чувствительные входы, такие как идентификатор пользователя.Безопасно ли отображать идентификатор пула AWS cognito в моем html?
<script src="https://sdk.amazonaws.com/js/aws-sdk-2.3.7.min.js"> </script>
<script>
AWS.config.region = 'XX-XXXX-1';
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
IdentityPoolId: 'XX-XXXX-1:XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXX'
});
var lambda = new AWS.Lambda();
</script>
Я действительно не люблю пулID. Злоумышленник может скопировать эту и грубую силу мои идентификаторы когнито. Любые идеи, чтобы скрыть это?
Cognito пулы пользователей абсолютно поддерживается SDKs вне ядра Android, IOS и JavaScript SDKs, что означает должность вы связаны, что эти SDKs имели дополнительные помощники, которые делают жизнь немного проще, в то время как другие SDK этого не делают. Вы можете очень просто использовать прямые API-интерфейсы, включенные в большинство SDK, для подключения и использования пулов пользователей без использования мобильных методов SDK. Этот плакат не спрашивал о пулах пользователей Cognito, хотя, но Cognito federated identity. –