Cognito托管UI如何应对密码重置流程中错误录入的用户名
0
【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中,如果用户输入的用户名不存在,则会显示以下消息:
We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.
其中,f*@y***.com**是一个“虚假”的电子邮件地址,看起来似乎是使用输入的用户名编造的。
这导致我们的支持团队出现问题,因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。
我解释了我认为的情况是UI不想告诉用户他们的ID未被发现(出于安全考虑),因此编造了一个虚假的电子邮件地址。我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你说得对,这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在管理错误信息页面中有强调,并在启用了“prevent user existence error”时应用。
When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
相关内容
AWS 官方已更新 2 年前