AWS Cognito 托管 UI 在 URL 中返回 id_token
[英]AWS Cognito hosted UI returning id_token in URL
問題描述
我正在使用 AWS Cognito 的托管 UI 進行用戶登錄。 id 令牌作為 URL 的一部分返回,如https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-integration.html 中所述。 即,
您可以在響應中的 #idtoken= 參數之后找到 JSON Web 令牌 (JWT) 身份令牌。 這是來自隱式授權請求的示例響應。 https://www.example.com/#id_token=123456789tokens123456789&expires_in=3600&token_type=Bearer
但是,將敏感數據放入查詢字符串被認為是一種不好的做法( HTTPS 查詢字符串是否安全? )。 AWS Cognito 是否支持更安全的返回 id 令牌的方式?
1 個解決方案
解決方案1
3 2019-11-26 10:05:40
您可以要求 cognito 向您發送授權代碼,而不是令牌。 從文檔:
授權代碼授予是授權最終用戶的首選方法。 不是在身份驗證時直接向最終用戶提供用戶池令牌,而是提供授權代碼。 然后將此代碼發送到自定義應用程序,該應用程序可以將其交換為所需的令牌。 由於令牌永遠不會直接暴露給最終用戶,因此它們不太可能受到損害。
來源: https : //aws.amazon.com/blogs/mobile/understanding-amazon-cognito-user-pool-oauth-2-0-grants/
為什么Request.QueryString [“ReturnUrl”]返回NULL,即使它存在於URL中?
[英]Why Request.QueryString[“ReturnUrl”] returning NULL even if it is present in the URL?
AWS API 網關在使用查詢參數時返回 HTTP 代碼 400
[英]AWS API Gateway returning HTTP code 400 while using query parameter
為什么當我嘗試從 url 訪問我的令牌時,它會自動縮短?
[英]Why my token get shorten automatically when I try to access it from the url?
EPiServer,id作為查詢字符串中的鍵,由url-rewriter劫持的id,是否使用rewriter指定位置?
[英]EPiServer, id as key in a querystring, id hijacked by url-rewriter, use rewriter for specified location?
如何防止會話ID通過URL查詢字符串在客戶端和服務器之間傳遞?
[英]How do i prevent the session id being passed between client and server via URL query string?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
將 id 值傳遞給 URL
URL錨哈希,然后使用另一個ID通過URL打開一個選項卡
根據Amazon AWS規范進行URL編碼的查詢字符串
為什么Request.QueryString [“ReturnUrl”]返回NULL,即使它存在於URL中?
AWS API 網關在使用查詢參數時返回 HTTP 代碼 400
為什么當我嘗試從 url 訪問我的令牌時,它會自動縮短?
EPiServer,id作為查詢字符串中的鍵,由url-rewriter劫持的id,是否使用rewriter指定位置?
截斷查詢字符串並返回干凈的 URL C# ASP.net
如何防止會話ID通過URL查詢字符串在客戶端和服務器之間傳遞?
$ _SERVER不返回查詢字符串
相關標簽