Cognito托管UI如何应对密码重置流程中错误录入的用户名

0

【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中,如果用户输入的用户名不存在,则会显示以下消息:

We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.

其中,f*@y***.com**是一个“虚假”的电子邮件地址,看起来似乎是使用输入的用户名编造的。

这导致我们的支持团队出现问题,因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。

我解释了我认为的情况是UI不想告诉用户他们的ID未被发现(出于安全考虑),因此编造了一个虚假的电子邮件地址。我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗?

profile picture
專家
已提問 1 年前檢視次數 35 次
1 個回答
0

【以下的回答经过翻译处理】 你说得对,这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在管理错误信息页面中有强调,并在启用了“prevent user existence error”时应用。

When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
profile picture
專家
已回答 1 年前

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南