各デバイス/ userIdに対していくつかの永続的な詳細/履歴を記録したいと思います。別のシステムの別のアカウントにリンクしたくないので、アカウントのリンクを使用しないようにしたいと思います。ドキュメントによれば、これは問題ありません。下記を参照してください。Amazon Alexaリクエストで提供されたuserIdでの認証は安全ですか?
userIdを含むリクエストは元のデバイスからのものでなければならないと思いますか?
- ユーザーは推測できますか?
- ユーザーを公開できますか? (大規模なAWS侵入は想定していません)
- リクエストを傍受できますか?スキルが認証を必要とするシステムと接続する必要があるときにリンクが必要とされているアカウントhttps://developer.amazon.com/public/solutions/alexa/alexa-skills-kit/docs/linking-an-alexa-user-with-a-user-in-your-system
注:
関連ドキュメントを(私がリクエストを処理するためにAWSラムダを使用しています)。あなたのカスタムスキルがセッション間の属性を保存するためにユーザーを追跡するだけであれば、アカウントリンクを使用する必要はありません。代わりに、各要求で提供されるuserIdを使用して、ユーザーを識別できます。特定のユーザーのuserIdは、ユーザーがAlexaアプリで自分のスキルを有効にすると生成されます。ユーザーがスキルを無効にしない限り、そのユーザーからスキルへのその後の要求はすべて同じユーザーIDを含みます。
セキュリティのためではなく、IDがランダムに生成されると想定するのは非常に危険です。多くの汎用キーには、プロファイル情報が埋め込まれており、しばしば順次生成されます。それらは次に難読化されるかもしれませんが、それは安全を意味しません。内部生成ロジックが公開されると、IDは非常に弱くなることがあります。 –
@JimRushはい、それは本当ですが、彼がそれらを使用するように示唆している方法(そして私がそれらを使用している方法)は、Amazonが提供する例に沿っています。 – Tom
この問題に関する文書はありませんが、この質問は、評判の良い情報源からの回答を得るためにAmazonのフォーラムに掲載する必要があります。これはすべての推測です。 –