首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

在Amazon Cognito中创建新用户并公开共享他的凭据是一种好做法吗?

在Amazon Cognito中创建新用户并公开共享他的凭据是一种不好的做法。

Amazon Cognito是一项用于身份验证、授权和用户管理的服务。它可以帮助开发人员轻松地添加用户注册、登录和访问控制功能到应用程序中。然而,公开共享用户凭据是一种不安全的做法,可能导致安全漏洞和数据泄露。

首先,公开共享用户凭据会暴露用户的敏感信息,如用户名和密码。这使得黑客有机会获取这些凭据,并可能滥用用户的身份进行未经授权的访问。

其次,公开共享用户凭据违反了最小权限原则。最小权限原则是指每个用户只能获得他们所需的最低权限来完成工作。如果用户的凭据被公开共享,其他人可能会获得比他们所需的更高权限,从而增加了系统被滥用的风险。

另外,公开共享用户凭据也会对合规性和数据保护产生负面影响。根据不同的法规和标准,如GDPR和PCI DSS,保护用户数据和隐私是一项重要的责任。公开共享用户凭据可能违反这些法规和标准,导致法律和财务风险。

相反,一个更好的做法是使用Amazon Cognito提供的安全机制来管理用户凭据。通过使用Cognito的身份验证和授权功能,开发人员可以确保用户的凭据得到安全地存储和处理。此外,Cognito还提供了多因素身份验证、社交登录集成和自定义身份提供商等功能,以增强应用程序的安全性。

总结起来,不建议在Amazon Cognito中创建新用户并公开共享他的凭据。相反,应该使用Cognito的安全机制来管理用户凭据,以确保应用程序的安全性和合规性。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

让用户使用第三方账号(如亚马逊账号)接入AWS IoT系统

在用户授权后,即可向亚马逊获得用户基本身份信息。 (2)本人用Web实现,因此需要设置OAuth过程需要回调URL,并且把这个URL加入Login with Amazon白名单。...给对应用户分配适当权限 现在我们获得了用户身份,但是用户要访问AWS IoT资源,如何设置才能将AWS权限,关联至第三方身份提供商给身份呢?...这就需要AWS CognitoIdentity Pool出马了。 (1)首先,cognito需要验证用户身份,然后Identity Pool创建一个对应身份映射。...这首先需要在cognitoIdentity Pool设置Authentication providers,添加开发者创建login with amazon标识,即Amazon App ID。...这样,开发者只要给cognito结点发送获得到用户token,cognito就可以与身份提供商交互来验证该token是否有效;若有效,会创建一个cognito ID来标识该第三方身份用户,这个cognito

1.5K40

Fortify软件安全内容 2023 更新 1

扩展到包括以下新命名空间:io/fsmath/bigmath/randomnet/smtpnet/textprototext/templatePython 更新(支持版本:3.10)Python 一种通用...:2.46.0)Apache Beam 一种开源统一编程模型,用于构建能够各种数据处理后端上运行数据处理管道。...[4]有时,源代码匹配密码和加密密钥唯一方法使用正则表达式进行有根据猜测。...在建议时不再在 google-services.json 中找到凭据管理:硬编码 API 凭据 – 减少了 Facebook 修订密钥上误报跨站点脚本 – 删除了 VB6 Windows 窗体应用程序触发误报死代码...Kubernetes 不良做法共享服务帐户凭据Kubernetes 配置错误:共享服务帐户凭据Kubernetes 不良做法:静态身份验证令牌Kubernetes 配置错误:静态身份验证令牌Kubernetes

7.7K30

每周云安全资讯-2022年第31周

1 对Kubernetes AWS IAM Authenticator身份验证利用 在这篇博文将介绍 AWS IAM Authenticator 检测到三个漏洞,所有这些漏洞都是由同一代码行引起...,关于AWS EC2实例中使用错误配置、公开允许IAM策略和应用程序安全漏洞getshell https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA 3.../why-online-storage-services-are-prime-targets-phishing-attacks 4 通过错误配置 AWS Cognito 接管 AWS 帐户 Amazon...此功能允许 AWS 账户之外工作负载 AWS 账户担任角色访问 AWS 资源。...这种日益流行趋势仅意味着组织应该已经开始关注将 K8s 集成到其运营网络安全影响。然而,当威胁行为者将目光投向 K8s 时,仅仅了解基础知识不够

1.1K40

人们需要担心7种云计算攻击技术

Mogull表示,这种攻击确实是最常见攻击之一。 静态凭据指用户访问密钥或Azure软件即服务(SaaS)令牌等。...当网络攻击者获得其中一个访问密钥时,他们可以受其控制主机或平台上使用它,执行API调用以进行恶意操作或特权升级。这些密钥通常是通过GitHub、BitBucket、共享图像、快照公开等方式泄露。...Mogull说:“我认为,这确实是当今云计算攻击最大载体,这是其中一种方法。尤其公开发布内容。”建议,用户尽量减少使用其凭证,并在代码存储库和公司GitHub中进行扫描。...建议进行持续评估,特别注意对象级别权限:更改存储桶级别权限时,并不总是更改对象级别权限。 说:“这种问题确实很难解决,因为有些企业在这些环境中有成千上万对象,现在他们必须通过尝试找到它们。...5.服务器端请求伪造 服务器端请求伪造(SSRF)一种危险攻击方法,也是云计算环境中日益严重问题。SSRF使用了元数据API,它允许应用程序访问底层云基础设施配置、日志、凭据和其他信息。

2.4K30

登录工程:现代Web应用典型身份验证需求|洞见

另一方面,将用户重定向到一个网页去登录做法,并不能提供很好用户体验——更重要,用户使用移动设备时,时间碎片化。...我们无法要求用户必须在特定时间内完成操作,也就基本没有会话概念:我们需要找到一种能够安全地设备相对持久地存储用户凭据方法,并且Web应用服务器可能需要配合这种方式来完成鉴权。...用户使用不同网站过程,为了不忘记用户名,只好使用相同用户名。如果恰好在某个网站遇到了该用户名被占用情况,就不得不临时为这个网站拟一个新用户名,于是这个新用户名很快就被忘记了。...我们希望各业务子系统之间共享用户状态:用户被锁定之后,在所有业务系统都被锁定;用户被注销之后,所有业务系统中有关数据都被封存。...如果……你平台既希望让其他平台用户能够平滑接入,又希望向其他平台公开自己用户,那可能另一番更有趣挑战。这个过程,也可以作为生物验证之外一种间接消除密码实践方式吧。

90360

深入了解IAM和访问控制

ARN Amazon Resource Names 缩写, AWS 里,创建任何资源有其全局唯一 ARN。ARN 一个很重要概念,它是访问控制可以到达最小粒度。...当然,这样权限控制也可以通过 EC2 文件系统里添加 AWS 配置文件设置某个用户密钥(AccessKey)来获得,但使用角色更安全更灵活。角色密钥动态创建,更新和失效都毋须特别处理。...所有的 IAM managed policy 不需要指明 Principal 。这种 policy 可以单独创建需要时候可以被添加到用户,群组或者角色身上。...上面的 policy 可以被添加到用户 tyrchen 身上,这样就可以访问自己私人目录;如果我们创建一个新用户叫 lindsey,也想做类似处理,则需要再创建一个几乎一样 policy,非常不符合...我们再看一个生产环境可能用得着例子,来证明 IAM 不仅「攘内」,还能「安外」。假设我们一个手游公司,使用 AWS Cognito 来管理游戏用户。每个游戏用户私人数据放置于 S3 之中。

3.9K80

国外物联网平台(1):亚马逊AWS IoT

通过控制台或使用 API 创建、部署管理设备证书和策略。这些设备证书可以预配置、激活和与使用 AWS IAM 配置相关策略关联。...AWS IoT 还支持用户移动应用使用 Amazon Cognito 进行连接,Amazon Cognito 将负责执行必要操作来为应用用户创建唯一标识符获取临时、权限受限 AWS 凭证。...注册表 注册表将创建设备标识跟踪元数据,如设备属性和功能。 注册表向格式一致每台设备分配唯一标识,而不管设备类型和连接方式为何。...支持全球或部分地区固件升级 规则引擎DynamoDBm数据库跟踪升级状态和进度 注册表存储设备固件版本 S3管理固件分发版本 S3组织和保障和固件二进制文件 消息代理使用话题模式通知设备分组...创建短信推送话题订阅此话题 ? ? 创建规则 ? 创建规则行为 ? 测试订阅是否成功 作者:马智  微信公众号:物联网那点事  如果你想及时得到相关资讯,可以关注个人公众号。

7.1K31

域渗透之GPP漏洞

标准做法利用组策略去批量设置工作站本地Administrator密码。但是这样又会出现另一个问题,那就是所有的电脑都会有相同本地Administrator密码。...总结:域中信息搜集相当重要,原因还是因为管理员操作问题和相应便捷工具带来安全问题。...密码更改方式一:SYSVOL SYSVOLAD(活动目录)里面一个存储域公共文件服务器副本共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要域数据。...其中GPP最有用特性,某些场景存储和使用凭据,其中包括: 映射驱动(Drives.xml) 创建本地用户 数据源(DataSources.xml) 打印机配置(Printers.xml) 创建/更新服务...其中cpassword项,保存加密后内容,加密方式为AES 256,虽然目前AES 256很难被攻破,但是微软选择公开了该AES 256加密私钥,地址如下: ?

2.7K20

【微前端架构】AWS 上微前端架构

微服务架构特点独立服务,这些服务专注于特定业务功能,并由小型、自包含团队维护。微服务架构经常用于 AWS 上开发 Web 应用程序,这是有充分理由。...他们使用 AWS 开发人员工具使用 Amazon CloudFront 将应用程序部署到 Amazon Simple Storage Service (S3)。...CI/CD 管道使用共享组件,例如 CSS 库、API 包装器或存储 AWS CodeArtifact 自定义模块。这有助于提高父应用程序和子应用程序之间一致性。...当您检索父应用程序时,它应该会提示您登录身份提供程序检索 JWT。在此示例,身份提供商 Amazon Cognito 用户池。...子应用程序不应要求您再次登录到 Amazon Cognito 用户池。应将它们配置为使用父应用程序获取 JWT,或者从 Amazon Cognito 静默检索新 JWT。

1.9K10

【云原生】给我 10 分钟,带你上手一个 AWS serverless web server

本文中,我将向你展示如何在几分钟内启动运行 AWS Lambda、Amazon API Gateway 和 AWS Amplify。...AWS Lambda 亚马逊云计算服务一部分,它是一个事件驱动、无服务器平台。它提供计算服务,运行事件响应代码,自动管理计算资源。...Amazon API Gateway 一项AWS服务,用于创建、发布、维护、监控和保护任意规模REST、HTTP 和WebSocket API。...API 开发人员可以创建能够访问AWS 或其他Web 服务以及存储AWS 云 数据API AWS Amplify 一组专门构建工具和功能,使前端Web 和移动开发人员可以快速、轻松地AWS...Amazon Cognito 可以提供用户管理和身份验证功能,以便保护后端 API。 最后,DynamoDB 可以提供一个持久层,而数据可以通过 API Lambda 函数存储该层

28910

十个最常见 Web 网页安全漏洞之首篇

由于浏览器无法知道脚本是否可信,因此脚本将被执行,攻击者可以劫持会话 cookie,破坏网站或将用户重定向到不需要恶意网站。 XSS 一种攻击,允许攻击者受害者浏览器上执行脚本。...永远不要在 URL 或日志公开任何凭据。 还应该做出很大努力来避免可用于窃取会话 ID XSS 漏洞。...避免 URL 公开对象引用。 验证对所有引用对象授权。 跨站点请求伪造 描述 Cross Site Request Forgery 来自跨站点伪造请求。...当用户登录原始网站时点击 URL 时,攻击者将向受害者发送链接,该数据将从网站上被窃取。 意义 将此漏洞用作攻击者可以更改用户配置文件信息,更改状态,代表管理员创建新用户等。...易受攻击对象 用户档案页面 用户帐户表单 商业交易页面 例子 受害者使用有效凭据登录银行网站。收到攻击者邮件说 “请点击这里捐赠 1 美元。”

2.3K50

2020年AWS,Microsoft和Google应进行云收购

三大主要云提供商每一个都存在其可以通过收购解决产品特定弱点。 通过适当添加,这些提供商可以为他们客户增加可观利益,使自己能够更有利地衡量其竞争对手。...例如,您可以使用它来构建会议应用程序整个后端。 但是,即使Amplify轨迹也受到另一个AWS服务:Amazon Cognito阻碍。...Cognito在其他AWS产品尤为根深蒂固,使用Auth0可能一个工程项目。话虽如此,回报可能巨大。...但是,Microsoft无服务器方面不够积极,仅提供一些容器编排和功能即服务支持。 Netlify实际上不属于Google或Amazon唯一独立无服务器/ API经济平台。...微软已将自己转变为可以采用Netlify使其具备能力来弥补其当前产品这一重大缺陷公司类型。

6.5K20

人们应该了解20个亚马逊云服务

2016年11月,AWS公司跟进推出了两款相关产品:Snowball Edge(可处理高达100TB数据包含计算能力)和Snowmobile,可在集装箱存储多达100PB数据,并将其直接运输发送到...AWS X-Ray AWS X-Ray 于2017年4月推出市场,X-Ray一种可帮助DevOps团队解决应用程序性能问题服务,特别是微服务应用程序。...Amazon Cognito AWS公司为开发人员提供各种服务,而Cognito就是其中之一。它简化了向Web或移动应用程序添加登录过程。...Amazon Sumerian 2017年11月推出Sumerian简化了创建和运行增强现实(AR)、虚拟现实(VR)和沉浸式3D内容过程。...请注意,用户可能会将相关服务其他成本纳入到Sumerian场景。 19. Amazon Chime 与Skype类似,Amazon Chime亚马逊公司统一通信服务,它于2017年2月推出。

4.6K60

AWS Lambda 快速入门

将 AWS Lambda 与 Amazon API Gateway 结合使用(按需通过 HTTPS) 步骤 1:设置 AWS 账户和 AWS CLI 注册 AWS 账户并在该账户创建管理员用户 设置...添加触发器,这里我们选择API Gateway ,配置部分选择之前配置 API,点击添加。然后保存函数 ?...如何构建Lambda 创建 Lambda 函数 创建 Lambda 函数时,需要指定一个*处理程序*(此处理程序代码函数),AWS Lambda 可在服务执行代码时调用它。...identity 通过 AWS 移动软件开发工具包进行调用时 Amazon Cognito 身份提供商相关信息。它可以为空。...并非基于流事件源 - 如果您创建 Lambda 函数处理来自并非基于流事件源(例如,Amazon S3 或 API 网关)事件,则每个发布事件一个工作单元。

2.5K10

亚马逊Ring:已解雇四名滥用权利访问用户视频数据员工

大数据产业创新服务媒体 ——聚焦数据 · 改变商业 据外媒报道,一封致信国会议员有关其安全做法信中,亚马逊旗下监控摄像头品牌Ring承认,在过去四年,该公司已解雇了四名因滥用权利访问用户视频数据员工...Ring提到事件可能与The Information和Ring 拦截有关报告有关,该报告使总部位于乌克兰研发团队能够无限制地访问每一个创建Ring视频到Amazon Web服务器。 ?...,才能访问公开视频和Ring员工、承包商以及员工或承包商朋友和家人视频。...但该公司表示,正在看到来自其他站点盗窃登录凭据被用于访问Ring设备。 Ring信中指出,其鼓励用户使用双因素身份验证,现在新帐户需要使用双因素身份验证。...参议员Ron Wyden(D-OR)发给The Verge声明说道,Ring需要做更多事情来保护Ring用户帐户: 新帐户需要使用双因素身份验证朝正确方向迈出一步,但是有数百万消费者已经在家中拥有

65720

Github 29K Star开源对象存储方案——Minio入门宝典

块存储将数据保存在原始块,与文件存储不同,它可以通过存储区域网络访问,低延迟高性能,一般用于数据库相关操作。 很明显,文件存储便于共享,但是性能很差。块存储性能,但是无法灵活共享。...缺乏基于文件夹存储不仅使检索文件更容易,而且还为每条数据分配元数据。 对象存储,一种扁平结构,其中文件被分解成碎片分散硬件。...在对象存储,数据被分成称为对象离散单元保存在单个存储库,而不是作为文件夹文件或服务器上块保存。 对象存储 VS HDFS 有人会问,大数据不能解决对象存储问题?...与Amazon S3 兼容 亚马逊云 S3 API(接口协议) 全球范围内达到共识对象存储协议,全世界内大家都认可标准。...将主机上运行 Web 浏览器指向 http://127.0.0.1:9000 使用 root 凭据登录。您可以使用浏览器来创建桶、上传对象以及浏览 MinIO 服务器内容。

9.2K40

每周云安全资讯-2023年第22周

https://cloudsec.tencent.com/article/4iCdCR 2 因恶意用户和恶意包过多,PyPI 暂停新用户注册和项目创建 Python包官方第三方注册表 PyPI宣布,颁发新通知之前...https://cloudsec.tencent.com/article/e1IFP 6 一种eBPF 漏洞检测方法 Buzzer一个新 eBPF 模糊测试框架,旨在帮助强化 Linux 内核,...这将允许攻击者使用常见公有云服务存储有效负载,绕过防病毒保护,使有效负载很长一段时间内可供下载。...https://cloudsec.tencent.com/article/16mdYz 9 什么云安全态势管理 (CSPM)? 现代云环境,安全监控和定期审计不足以威胁变成漏洞之前检测到它们。...Intelligence缩写,中文名为公开来源情报,指从公开可用信息收集、分析和利用情报。

19220

为亚马逊S3提供SFTP连接

Amazon S3或Simple Storage Service,一种低成本、基于云对象存储服务,它通过合理、按需付费定价为用户提供几乎无限存储空间。...许多组织寻求利用SFTP简单性和安全性作为一种简单文件传输机制,将数据从企业应用程序传输到Amazon S3。...与全球数以千计组织和团队一样,您可以使用S3作为中央存储库,将所有数据存储一个地方,用于一系列计划: 备份您数据保留数据历史版本 通过AWS生态系统内云平台整个组织内共享文件 存储审计日志...只需将SFTP客户端连接器拖放到您工作空间中,配置服务器和端口,然后输入您在上一步创建用户凭据。指定服务器希望接收文件文件夹/子文件夹路径。系统会自动提示您测试连接。...4.选择设置Amazon S3端口 将S3端口拖放到工作空间下工作流。输入您S3访问凭证指定您希望知行EDI系统上传文件存储地或文件夹/子文件夹。

1.6K40

OAuth 2.0初学者指南

旧方式:用户与FunApp共享/她Facebook凭据(用户名,密码)。这种方法存在一些挑战:信任,不受限制访问,用户对Facebook密码更改等。...让我们从开发人员角度看这个场景,找出这里涉及演员: 由于Facebook拥有所有资源(用户公开个人资料,照片,帖子,朋友等),因此它成为资源服务器。 用户资源所有者。...访问令牌用于访问用户数据。这是OAuth2最受欢迎流程,称为授权代码授权。以下授权代码授权获取访问令牌序列图: ? 6....授权以授权授权形式表示,客户端使用该授权授权来请求访问令牌。OAuth2定义了四种标准授权类型:授权代码,隐式,资源所有者密码凭据和客户端凭据。它还提供了一种用于定义其他授权类型扩展机制。...iv)客户端凭据:当客户端本身拥有数据且不需要资源所有者委派访问权限,或者已经典型OAuth流程之外授予应用程序委派访问权限时,此授权类型合适。在此流程,不涉及用户同意。

2.4K30
领券