Cognito托管UI如何应对密码重置流程中错误录入的用户名

0

【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中,如果用户输入的用户名不存在,则会显示以下消息:

We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.

其中,f*@y***.com**是一个“虚假”的电子邮件地址,看起来似乎是使用输入的用户名编造的。

这导致我们的支持团队出现问题,因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。

我解释了我认为的情况是UI不想告诉用户他们的ID未被发现(出于安全考虑),因此编造了一个虚假的电子邮件地址。我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗?

profile picture
EXPERT
asked a year ago35 views
1 Answer
0

【以下的回答经过翻译处理】 你说得对,这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在管理错误信息页面中有强调,并在启用了“prevent user existence error”时应用。

When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
profile picture
EXPERT
answered a year ago

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions