Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

指定用户池设备跟踪设置

作为进一步提高安全性的一种方式,您可以跟踪用户登录的设备。本主题介绍如何在 AWS 管理控制台中将设备跟踪添加到您的 Amazon Cognito 用户池 中。

设置记忆设备

借助 Amazon Cognito 用户池,您可以选择让 Amazon Cognito 记住用于访问您的应用程序的设备,并将这些记住的设备与用户池中您的应用程序的用户关联。如果您设置了多重验证 (MFA),还可以选择使用记忆设备来停止向用户发送代码。

通过 Amazon Cognito 控制台设置记忆设备功能时,您有三种选择:始终用户选择加入

  • (默认值)– 不记住设备。

  • 始终 – 记住应用程序用户使用的每台设备。

  • 用户选择加入 – 只有当您的用户选择记住设备时,该设备才会被记住。

如果选择了始终用户选择加入,那么对于每台设备,系统都会在用户首次使用该设备登录时,为其分配一个设备标识符(键和密钥)。除了识别设备,此密钥不会用于其他任何地方,但会被服务跟踪。

如果您选择始终,作为用户身份验证流的一部分,Amazon Cognito 将使用设备标识符(键和密钥)在每个用户使用设备登录时,对该设备进行身份验证。

如果您选择用户选择加入,则只有当应用程序的用户选择记住设备时,您才能记住该设备。当用户使用新设备登录时,请求启动跟踪的响应将指示是否应该提示用户记住他们的设备。您必须创建用户界面来提示用户。如果用户选择记住设备,则系统会将设备状态更新为“已记住”状态。

AWS 移动开发工具包还提供了其他 API,可用来查看记忆设备(ListDevicesGetDevice)、将设备标记为“记住”或“不记住”(UpdateDeviceStatus),以及停止跟踪设备 (ForgetDevice)。在 REST API 中,还提供了这些 API 的管理员版本,这些版本的 API 具备提升的权限,适用于任何用户。它们的 API 名称分别为 AdminListDevicesAdminGetDevice,等等。它们不通过开发工具包提供。

使用记忆设备停止多重验证 (MFA)

如果您选择了始终用户选择加入,则还可以选择为应用程序的用户在记住的设备上停止 MFA 质询。要使用此功能,您必须为您的用户池启用 MFA。有关更多信息,请参阅向用户池添加多重验证 (MFA)

注意

如果设备记住功能设置为始终并且是否要使用记忆设备隐藏多重验证 (MFA) 的第二安全要素?设置为,则在基于风险的 MFA 中会忽略中/高风险的 MFA 设置。