我正在使用带有aws-amplify的联合身份池(https://aws.github.io/aws-amplify/media/authentication_guide#enabling-federated-identities),我想将域的范围限制为我的谷歌域名组织(例如johndoe@foobar.com) .
似乎没有办法将其锁定在Google API控制台或AWS Cognito Identity Pool设置上,只是提示可以将高清参数附加到Google请求以按域限制(这仍然是需要修改aws-amplify核心软件包),它仍然不安全,因为任何人都可以在没有hd的情况下发出相同的请求并获得对cognito的访问权限 .
我的问题是:有没有办法限制谷歌oauth密钥只允许@ foobar.com电子邮件地址,或与aws cognito实施相同的限制?
1 回答
我相信我找到了一个解决方案(从几个快速测试看起来似乎工作正常)
资料来源:https://forums.aws.amazon.com/thread.jspa?messageID=527303
这是一个cloudformation堆栈,可以一次性设置所有内容(标识池,角色等) . 你需要在所有标有_2449970评论的地方进行必要的调整 .