1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 如果您在API网关中设置了Cognito用户池身份验证,则API网关将封锁非有效用户的请求。
来自Cognito用户池的身份令牌或访问令牌将是JWT令牌。在后端验证JWT是另一层保护,如果您的后端想要确保中间没有叛徒发送带有虚假JWT令牌绕过API网关的请求。有其他方法可以防止该情况发生,但您继承应用程序的人可能会有这种思路。
另外,如果您的后端需要来自JWT令牌的声明来执行其他操作并需要访问声明,则必须解析JWT。
如果用户已在Cognito用户池中注册用户属性(如电子邮件和电话号码),则这些属性应在JWT声明中可用。如果在Cognito用户池中设置了这些属性的用户的声明为空,您是否看到了?
相关内容
- AWS 官方已更新 1 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 2 年前