私のチームと私は数ヶ月間、販売リストアプリケーションを構築していました。今はベータ版であり、多くのユーザーがいます。 AWSのサンプルであるLambdAuthのサンプルプロジェクト(https://github.com/danilop/LambdAuth)を実装することに近づいており、ユーザアカウントに機密情報が含まれている可能性があるため、登録とログインの方法をユーザーに提供する可能性があります。説明されている暗号化は、「パスワードはデータベースにはクリアに保存されませんが、各パスワードに専用のランダムなソルトを使用して「ソルト」されます(HMAC-SHA1経由)。danilop/LambdAuth AWS Lambda Githubプロジェクトはどのように安全ですか?
これは、十分なセキュリティが十分なユーザーベースで十分ですか?それはハッキングする傾向がありますか?妥当な量のパスワードセキュリティをユーザーに提供するために、このプロジェクトに加えてさらに暗号化作業を行う必要がありますか?
ありがとうございます!あなたのプロジェクトをCognito上で使用しようとしていたのは、開発者の認証された権限をCognitoに直接渡すことができないからです。 –
あなたの要件を正しく理解していれば、Cognito User Pools(またはTwitter、Facebookなどの外部認証、またはOpenID ConnectまたはSAMLをサポートするプロバイダ)を使用してユーザーを管理し、開発者認証IDにアクセスできます。私のフレームワークを使用したい場合は、セキュリティ専門家に再度確認してください。 – danilop