如何解决cognitoidentityserviceprovider.getUser如何工作?
我的问题与AWS Cognito SDK有关。我的前端使用amplify / cognito对用户进行身份验证,并将标头中的令牌发送到我的后端。
我已经成功使用cognitoidentityserviceprovider.getUser()在后端nodejs应用上获取用户属性,但没有任何权限!
我使用的API上仅具有S3和SES权限的受限用户,但是让我感到惊讶的是,getUser()调用只是在未经任何授权的情况下解码了JWT令牌?如果是这样,有人可以使用aws-sdk从我的jwt令牌中解码所有用户属性吗?
我还完全删除了后端的API密钥,只是看到它仍然能够成功获取用户对象。这不是安全隐患吗?
代码:
const aws = require('aws-sdk');
var provider = new aws.CognitoIdentityServiceProvider();
const user = await provider.getUser( {AccessToken: jwtToken}).promise();
return user;
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。