Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

指定用户池设备跟踪设置

作为进一步提高安全性的一种方式,您可以跟踪用户登录的设备。本主题介绍如何在 AWS 管理控制台 中将设备跟踪添加到您的 Amazon Cognito 用户池 中。

设置记忆设备

借助 Amazon Cognito 用户池,您可以选择让 Amazon Cognito 记住用于访问您的应用程序的设备,并将这些记住的设备与用户池中您的应用程序的用户关联。如果您设置了多重验证 (MFA),还可以选择使用记忆设备来停止向用户发送代码。

通过 Amazon Cognito 控制台设置记忆设备功能时,您有三种选择:AlwaysUser Opt-InNo

  • No (默认值) - 不记住设备。

  • Always - 记住应用程序用户使用的每台设备。

  • User Opt-In - 只有当您的用户选择记住设备时,该设备才会被记住。

如果选择了 AlwaysUser Opt-In,那么对于每台设备,系统都会在用户首次使用该设备登录时,为其分配一个设备标识符 (键和密钥)。除了识别设备,此密钥不会用于其他任何地方,但会被服务跟踪。

如果您选择 Always,作为用户身份验证流的一部分,Amazon Cognito 将使用设备标识符 (键和密钥) 在每个用户使用设备登录时,对该设备进行身份验证。

如果您选择 User Opt-In,则只有当应用程序的用户选择记住设备时,您才能记住该设备。当用户使用新设备登录时,请求启动跟踪的响应将指示是否应该提示用户记住他们的设备。您必须创建用户界面来提示用户。如果用户选择记住设备,则系统会将设备状态更新为“已记住”状态。

AWS 移动开发工具包还提供了其他 API,可用来查看记忆设备 (ListDevicesGetDevice)、将设备标记为“记住”或“不记住”(UpdateDeviceStatus),以及停止跟踪设备 (ForgetDevice)。在 REST API 中,还提供了这些 API 的管理员版本,这些版本的 API 具备提升的权限,适用于任何用户。它们的 API 名称分别为 AdminListDevicesAdminGetDevice,等等。它们不通过开发工具包提供。

使用记忆设备停止多重验证 (MFA)

如果您选择了 AlwaysUser Opt-In,则还可以选择为应用程序的用户在记住的设备上停止 MFA 质询。要使用此功能,您必须为您的用户池启用 MFA。有关更多信息,请参阅 多重验证 (MFA) 设置

注意

如果设备记住功能设置为 AlwaysDo you want to use a remembered device to suppress the second factor during multi-factor authentication (MFA)? 设置为 Yes,则会忽略在基于风险的 MFA 中的中/高风险的 MFA 设置。