问题描述
我的问题与AWS Cognito SDK有关。我的前端使用amplify / cognito对用户进行身份验证,并将标头中的令牌发送到我的后端。
我已经成功使用cognitoidentityserviceprovider.getUser()在后端nodejs应用上获取用户属性,但没有任何权限!
我使用的API上仅具有S3和SES权限的受限用户,但是让我感到惊讶的是,getUser()调用只是在未经任何授权的情况下解码了JWT令牌?如果是这样,有人可以使用aws-sdk从我的jwt令牌中解码所有用户属性吗?
我还完全删除了后端的API密钥,只是看到它仍然能够成功获取用户对象。这不是安全隐患吗?
代码:
const aws = require('aws-sdk');
var provider = new aws.CognitoIdentityServiceProvider();
const user = await provider.getUser( {AccessToken: jwtToken}).promise();
return user;
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)