Cognito托管UI如何应对密码重置流程中错误录入的用户名

0

【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中,如果用户输入的用户名不存在,则会显示以下消息:

We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.

其中,f*@y***.com**是一个“虚假”的电子邮件地址,看起来似乎是使用输入的用户名编造的。

这导致我们的支持团队出现问题,因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。

我解释了我认为的情况是UI不想告诉用户他们的ID未被发现(出于安全考虑),因此编造了一个虚假的电子邮件地址。我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗?

profile picture
전문가
질문됨 일 년 전35회 조회
1개 답변
0

【以下的回答经过翻译处理】 你说得对,这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在管理错误信息页面中有强调,并在启用了“prevent user existence error”时应用。

When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
profile picture
전문가
답변함 일 년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠