1개 답변
- 최신
- 최다 투표
- 가장 많은 댓글
0
【以下的回答经过翻译处理】 如果您在API网关中设置了Cognito用户池身份验证,则API网关将封锁非有效用户的请求。
来自Cognito用户池的身份令牌或访问令牌将是JWT令牌。在后端验证JWT是另一层保护,如果您的后端想要确保中间没有叛徒发送带有虚假JWT令牌绕过API网关的请求。有其他方法可以防止该情况发生,但您继承应用程序的人可能会有这种思路。
另外,如果您的后端需要来自JWT令牌的声明来执行其他操作并需要访问声明,则必须解析JWT。
如果用户已在Cognito用户池中注册用户属性(如电子邮件和电话号码),则这些属性应在JWT声明中可用。如果在Cognito用户池中设置了这些属性的用户的声明为空,您是否看到了?
관련 콘텐츠
- AWS 공식업데이트됨 3년 전
- AWS 공식업데이트됨 일 년 전