Amazon Cognito

Amazon Cognito 概述

Amazon Cognito 为客户的 Web 和移动应用程序提供身份验证、授权和用户管理。用户可以直接使用用户名和密码登录，或通过第三方（如 Facebook、Amazon、Google、Apple）或通过 SAML 2.0 和 OpenID Connect 的企业身份提供商登录。

Amazon Cognito 的两个主要组件是 用户池 和 身份池。用户池 是为应用程序用户提供注册和登录选项的用户目录。身份池 使开发人员能够授予用户访问其他 AWS 服务的权限。

What is Amazon Cognito? - Amazon CognitoAmazon Cognito

Amazon Cognito 如何工作？

1. 用户通过 用户池 登录，成功身份验证后接收用户池令牌（JWT 令牌）

2. 应用程序通过 身份池 将用户池令牌交换为 AWS 凭证

3. 用户可以使用 AWS 凭证访问其他 AWS 服务，如 Amazon S3 或 DynamoDB

安全问题

身份池 ID 泄漏

身份池 ID 允许您获取可能具有额外 AWS 权限的临时 AWS 凭证。因此，可能会获得对敏感 AWS 服务的未认证访问。

身份池 ID 可以存储在客户端，例如在 JavaScript 中，或者在响应中返回。

参考资料：

• Appsecco 博客：利用 Amazon Cognito 中的弱配置

• 技术分析：攻击 AWS Cognito 错误配置

错误配置的用户池访问

如果应用程序允许写入内部使用的 AWS 用户池的用户属性，它可以被用来滥用应用程序和池之间的信任关系。换句话说，可以更改属性并颁发应用程序将使用的 JWT 令牌。例如，如果应用程序使用标准化的电子邮件（小写），您可以将电子邮件地址中的一个字母更改为等效的大写字母并接管账户。

参考资料：

• 技术分析：Flickr 账户接管

参考资料

• 白皮书：AWS Cognito 安全的互联网规模分析