指定用户池设备跟踪设置 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

指定用户池设备跟踪设置

作为进一步提高安全性的一种方式,您可以跟踪用户登录的设备。本主题介绍如何在Amazon Web Services Management Console中将设备跟踪添加到您的 Amazon Cognito 用户池。

设置记忆设备

借助 Amazon Cognito 用户池,您可以选择让 Amazon Cognito 记住用于访问您的应用程序的设备,并在用户池中将这些记住的设备与应用程序用户关联。如果您设置了多重验证 (MFA),还可以选择使用记忆设备来停止向用户发送代码。您必须使用 USER_SRP_AUTH 身份验证流程才能使用设备跟踪功能。您还必须为您的用户池启用 MFA。

通过 Amazon Cognito 控制台设置记忆设备功能时,有三种选项供您选择:Always (始终)User Opt-In (用户选择加入)No (否)

注意

如果您选择了新的 Amazon Cognito 控制台,则您的设备跟踪选项为 Always(始终)、User Opt-In(用户选择加入)和 Don't remember(忘记)。

  • No (否) (原定设置) - 不记住设备。

  • Always (始终) - 记住应用程序用户使用的每台设备。

  • User Opt-In (用户选择加入) - 只有当您的用户选择记住设备时,该设备才会被记住。

如果选择了始终用户选择加入,那么对于每台设备,系统都会在用户首次使用该设备登录时,为其分配一个设备标识符(键和密钥)。除了识别设备,此密钥不会用于其他任何地方,但会被服务跟踪。

如果您选择 Always (始终),则在用户身份验证流程中,Amazon Cognito 将使用设备标识符(键和密钥)在每个用户使用设备登录时对该设备进行身份验证。

如果您选择用户选择加入,则只有当应用程序的用户选择记住设备时,您才能记住该设备。当用户使用新设备登录时,请求启动跟踪的响应将指示是否应该提示用户记住他们的设备。您必须创建用户界面来提示用户。如果用户选择记住设备,则系统会将设备状态更新为“已记住”状态。

Amazon Mobile SDK 还提供了其他 API,可用来查看记住的设备(ListDevicesGetDevice)、将设备标记为“已记住”或“未记住”(UpdateDeviceStatus),以及停止跟踪设备(ForgetDevice)。在 REST API 中,还提供了这些 API 的管理员版本,这些版本的 API 具备提升的权限,适用于任何用户。它们的 API 名称分别为 AdminListDevicesAdminGetDevice,等等。它们不通过开发工具包提供。

使用记忆设备停止多重身份验证(MFA)

如果您选择了始终用户选择加入,则还可以选择为应用程序的用户在记住的设备上停止 MFA 质询。要使用此功能,您必须为您的用户池启用 MFA。有关更多信息,请参阅 向用户池添加 MFA

注意

如果设备记住功能设置为始终并且是否要使用记忆设备隐藏多重验证 (MFA) 的第二安全要素?设置为,则在基于风险的 MFA 中会忽略中/高风险的 MFA 设置。