Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen

Cognito托管UI如何应对密码重置流程中错误录入的用户名

0

【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中,如果用户输入的用户名不存在,则会显示以下消息:

We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.

其中,f*@y***.com**是一个“虚假”的电子邮件地址,看起来似乎是使用输入的用户名编造的。

这导致我们的支持团队出现问题,因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。

我解释了我认为的情况是UI不想告诉用户他们的ID未被发现(出于安全考虑),因此编造了一个虚假的电子邮件地址。我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗?

profile picture
EXPERTE
gefragt vor einem Jahr35 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你说得对,这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在管理错误信息页面中有强调,并在启用了“prevent user existence error”时应用。

When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
profile picture
EXPERTE
beantwortet vor einem Jahr

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen