有谁知道用户池ID和客户端ID是否敏感?目前我让他们坐在前端,只是想知道这是否危险。如果是,他们如何被剥削?
不,他们不是。他们应该是公开的。它们被利用的唯一方法是有人可以使用它们对您的用户池进行大量的SignUp调用。但只要这些注册未经过验证,这些注册就不会转换为活跃用户(除非您启用了用户自动验证)。这不是AWS特定的问题。假注册是一个令人头痛的问题,即使没有使用SignUp api并且PHP后端用于注册,也会遇到此问题。面对此问题的唯一方法是电子邮件/电话验证。
当然,如果您在用户池中禁用了SignUp,即只有管理员可以创建用户,那么这根本不是问题。