Congito - 禁止密码重复使用(最后 x 个密码)
【以下的问题经过翻译处理】 我们有许多下游客户要求我们在我们的应用程序中添加阻止更改密码时重复使用密码的功能。我们正在使用Cognito用户池来管理所有用户,并且在我们的系统数据库中根本不存储用户密码。 是否有办法在用户帐户上配置参数,以禁止他们使用先前使用过的相同密码? 我们不想推动下游客户使用联合身份验证来作为替代方案(利用联合身份认证提供者来提供此项功能),因为许多较小的客户可能没有IT团队来管理它。 如果有关于此功能的任何解决办法,将不胜感激!
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 你好,
我理解你想设置密码重复使用策略,并想了解是否有一种方法来配置用户账户参数,以禁止他们使用先前使用过的相同密码。
不幸的是,目前 Cognito 不支持防止用户重新使用相同的密码。根据设计,Cognito 实际上不会传输和存储用户的密码,而是使用安全远程密码(SRP)协议进行密码验证。您可以在此处找到更多 SRP 信息 [1]。出于安全原因,Cognito 只传输 SRP 密码验证器,而不是用户的实际密码。这就是它不存储用户以前密码的历史记录并将它们与用户正在尝试更改的新密码进行比较的原因。
一个解决办法是,在调用 Change Password API [2] 时,在您的代码中实施自己的策略验证,或将密码哈希保存为自定义属性,然后将其与新密码进行比较。无论哪个选项都涉及存储密码,并且这与安全最佳做法不符,因此建议您在执行任何操作之前检查公司的安全策略。
请关注 What's New Page [3] 和 AWS Blogs [4],以了解更多有关新功能发布的信息。此外,您还可以监视 Cognito Document 历史页面 [5],在那里会宣布新的 Cognito 功能发布。
我希望这些信息对你有所帮助。
==========资源============ [1] SRP: https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol
[2] Change Password API: https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ChangePassword.html
[3] What's New: https://aws.amazon.com/new/
[4] AWS Blogs: https://aws.amazon.com/blogs/aws/
[5] Document History for Amazon Cognito - https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-document-history.html
相关内容
AWS 官方已更新 7 个月前- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前