Лучшие практики для хранения идентификаторов Cognito Identity Pool

Question

При работе с Cognito Identity Pools (федеративными удостоверениями), как лучше всего хранить уникальные идентификаторы пулов, к которым у моих пользователей должен быть доступ? Я думаю о них как о секретах, так как они необходимы для использования с действиями API, необходимыми для получения учетных данных для работы с защищенными ресурсами (например, GetId, GetCredentialsForIdentity), которые являются публикуемыми c API.

Answer 1

То, что Мадео заявил в комментариях, является правильной концепцией. Identity ID / Identity Pool ID сам по себе не является конфиденциальной информацией. Идентификационный идентификатор определяется как уникальный идентификатор для пула идентификаторов, и им можно управлять на стороне клиента вашего приложения.

В целях безопасности вам необходимо убедиться, что токен JWT из пула пользователей передается на вызов API Identity Pool безопасным способом (или откуда вы получаете токен, будь то Facebook / Twitter / и др c).