多租户安全建议 - Amazon Cognito
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

多租户安全建议

以下建议可帮助您提高应用程序的安全性。

  • 避免使用未经验证的电子邮件地址根据域匹配授权用户访问租户。电子邮件地址和电话号码不应受信任,除非它们经过您的应用程序验证或外部 IdP 提供验证证明。有关设置这些权限的详细信息,请参阅属性权限和范围

  • 确保用于标识租户的用户配置文件属性是可由管理员更改的不可变或可变属性。应用程序客户端应对这些属性具有只读访问权限。

  • 确保在外部 IdP 和应用程序客户端之间具有 1:1 映射,以防止未经授权的跨租户访问。如果用户拥有有效的 Amazon Cognito 会话 cookie,并且在多个应用程序客户端上允许其外部 IdP,则可能会发生这种情况。

  • 在应用程序中实施租户匹配和授权逻辑时,请确保用户自己不能修改用于授权用户访问租户的条件。您还应确保租户身份提供程序管理员不能修改用户访问权限(如果正在使用外部 IdP 进行联合)。