我们正在使用 AWS Cognito + API 网关和 oAuth2 客户端凭证流设置 SaaS 服务器到服务器身份验证解决方案。
有一件事让我很困扰——我可以以纯文本形式访问应用程序客户端机密。
由于我们会与实际客户共享这些凭证,因此将机密信息保存在文本中似乎不是一个好主意。就像将密码存储在文本中一样。我最多只能在客户端创建过程中访问这些凭证。
我是不是遗漏了什么?
为什么 AWS Cognito 客户端机密不是“秘密”
我们正在使用 AWS Cognito + API 网关和 oAuth2 客户端凭证流设置 SaaS 服务器到服务器身份验证解决方案。
有一件事让我很困扰——我可以以纯文本形式访问应用程序客户端机密。
由于我们会与实际客户共享这些凭证,因此将机密信息保存在文本中似乎不是一个好主意。就像将密码存储在文本中一样。我最多只能在客户端创建过程中访问这些凭证。
我是不是遗漏了什么?
