Я пытаюсь настроить пул пользователей AWS Cognito для входа без пароля, следуя этому запись. Однако одно из условий — разрешить только пользовательскую аутентификацию. Но мне нужно, чтобы мое приложение позволяло пользователям использовать пару других провайдеров (oAuth и SAML), а также вход без пароля.
Как я могу убедиться, что пользователь не может каким-либо образом войти в систему со случайным паролем, сгенерированным в ходе вышеуказанного процесса? или есть другой подход?
Я процитирую тот же источник, но с большим контекстом
[В пуле пользователей] есть клиент приложения, настроенный на «Разрешить только пользовательскую аутентификацию». Это связано с тем, что при регистрации пользователя Amazon Cognito требует пароль. Для этого мы предоставим случайную строку. Мы не хотим, чтобы пользователи могли войти в систему с этим паролем позже.
В вашем пуле пользователей может быть несколько клиентов приложений. Таким образом, у вас будет один клиент приложения для OAuth, SAML и т. д., а другой — для беспарольного доступа. Оба клиента приложения предоставят вам токены одному и тому же пулу пользователей.
Также стоит подвергнуть сомнению их предпосылку для обеспечения только пользовательской аутентификации. Их обоснование заключается в том, что они создают случайный пароль для пользователя, который никогда не передается им, который теоретически может использоваться для входа в систему. Я думаю, вы могли бы счесть это угрозой безопасности, но если вы не управляете банком или чем-то еще, для меня это не звучит иначе. Если вы использовали длинный защищенный от шифрования генератор, я действительно не вижу, чтобы кто-то угадал ваши «секретные» пароли пользователей. Cognito имеет встроенную защиту от грубой силы.
