在文档中,提到了一个应用客户端密钥(App Client Secret)
,但我找不到它的用途。
我发现JavaScript SDK没有使用它,我也不知道为什么,可能是因为很多JavaScript应用程序都运行在用户的浏览器上,不是公开秘密的地方,但这只是我的猜测。
如果这像是应用客户端ID(App Client ID)
的密码一样,我看不出它如何提高安全性,因为无论谁窃取了你的应用客户端ID(App Client ID)
,也能够窃取应用客户端密钥(App Client Secret)
。此外,应用客户端ID(App Client ID)
是相当随机的,应该足以防止暴力攻击。
我想知道这个密钥的作用是什么,Cognito如何使用它以及它提供哪些功能。