为什么 AWS Cognito 客户端机密不是“秘密”

为什么 AWS Cognito 客户端机密不是“秘密”

我们正在使用 AWS Cognito + API 网关和 oAuth2 客户端凭证流设置 SaaS 服务器到服务器身份验证解决方案。

有一件事让我很困扰——我可以以纯文本形式访问应用程序客户端机密。

由于我们会与实际客户共享这些凭证,因此将机密信息保存在文本中似乎不是一个好主意。就像将密码存储在文本中一样。我最多只能在客户端创建过程中访问这些凭证。

我是不是遗漏了什么?

可见秘密的示例

相关内容