个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
基本上,我想知道如果通信是通过 HTTPS 进行的,为什么所有额外的加密步骤?
IE。对于身份:
用户进行身份验证,通过 HTTPS 为该用户提供身份 token ,他们可以使用它来执行您允许的任何操作。如果他们表现不佳,我可以撤销权利并禁止该帐户将来使用代币。
IE。对于匿名:
好吧,如果我提供匿名代币,我们真的不应该让他们做任何可能有害的事情……只给他们代币并希望他们不要滥用它。如果检测到滥用,只需撤销权利并将其列入 IP 黑名单(我的意思是这真的是我当时唯一能做的事情,对吗?)。
除了我上面描述的之外,上面的所有其他复杂性是什么? IE。 “使用使用高级加密标准通过 https 传递的 key 进行加密”,“由时间戳生成的 HMAC 哈希组成的加密签名,使用从密码派生的安全 key ”
这真的有必要吗?有什么好处?我是否仍然需要对 token 的使用情况进行主动监控,我是否会按照我上面对行为不良的用户的描述进行操作?
资源:http://aws.amazon.com/articles/4611615499399490
最佳答案
我从事 AWS 移动开发工具包的工作。 Anonymous 和 Identity TVM 旨在作为将 AWS token 传达给移动设备的示例引用应用程序。您应该修改 TVM 以满足您的特定需求。至少,您应该更新应用于 token 的策略,以限制移动应用程序仅访问它需要的那些 AWS 资源。正如您所提到的,限制谁可以访问身份 TVM 中的 TVM 也是正确操作 TVM 的一个关键方面。
我们添加了额外的加密层以提供更好的整体安全性。 SSL 的使用是此处使用的层之一 - 它用于保护 token 本身到设备的交付,以及用于加密 token 的 key 。
请注意,一旦发出 token ,就无法撤销它。 token 具有 1 到 36 小时的可配置时间限制,因此设置适当的策略和持续时间是 TVM 及其服务的应用程序的重要安全考虑因素。
如果有帮助,以下文章提供了一个自定义身份 TVM 的示例,其中包含应用于 token 的特定策略对象:
http://aws.amazon.com/code/4598681430241367
希望这可以帮助,
格伦
关于amazon-web-services - 亚马逊网络服务 : Token Vending Machines (anonymous/identity) Encryption,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14287000/
25
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?将问题更新为 on-topic对于堆栈溢出。 7年前关闭。 Improve this qu
我已经在我的网站上列出了我所有的亚马逊订单。 现在,我希望能够将订单标记为从我的网站发货,并且状态将在亚马逊上立即更新。 我看过亚马逊提要 api,但不清楚提要 xml 的格式。 我只想要一个用于更新
我想在不经过转换过程(我的内容 --> Epub/Html --> KindleGen/Calibre/其他工具)的情况下生成 KF8,因为我需要更多地控制 kf8 文件的生成。 guidelines
我打算为亚马逊的市场网络服务 (MWS) 开发一个客户端。我的要求是更新订单、同步订单状态、使用他们拥有的 API 获取订单详细信息。 但是,我找不到沙盒环境来测试这些场景。我了解亚马逊有一个支付沙箱
PA-API 的销售已经停止,我想知道这对我来说意味着什么。我喜欢这个 API,但我看不到有自己的网站和购物车等的可能性。 是否有来自 Amazon 的 API 可以将其用于购物车和结账? 只需生成购
我在 salesforce 领域工作,并尝试使用产品 Feed API 在亚马逊卖家账户中创建产品。但我不确定如何为属于珠宝类别的产品创建完美的 xml 提要文件。我可以使用 MWS 客户端库吗?或者
如何使用 Amazon MWS 将内嵌图像添加到注册品牌的产品描述部分还是平面文件? 谢谢! 最佳答案 如果您是注册品牌所有者,则需要使用 enhanced brand content templat
是否可以在一个 aws dynamodb 帐户中创建多个数据库?例如,一个管理大学表格的大学数据库和一个管理学校表格的学校数据库。谢谢。 最佳答案 另一个答案是正确的,但更完整的答案是 DynamoD
我有一个简单的问题,因为没有找到任何答案。实际上,我可以使用亚马逊的 API 从 ASIN 代码中获取有关产品的信息,但在这张图片的情况下,我可以获得一张不同格式的图片,大拇指、中拇指等,对吗? 在我
关于哪个 Web 服务可以上传订单的 pdf 发票? 几周以来,可以通过sellercentral 或第三方软件了解.... 但我找不到有关 mws api 的方法.. 谢谢 最佳答案 也许你应该看看
有没有办法计算通过 amazon redshift 中的 SQL 更新查询影响的最后行数? 类似于 PG_LAST_COPY_COUNT() 之类的函数,用于计算亚马逊 Redshift 中的最后一个
我决定将 MySql 或 NoSQL 用于论坛站点。我对整个 NoSQL 想法很陌生,在阅读文档时我注意到“项目”不能大于 64kb,这包括属性和值。从我理解的方式来看,我能想到的实现这一点的唯一方法
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 8年前关闭。 Improve this q
我正在创建一个 Alexa 技能,需要检索各种内容,例如日期、文件号等。我还需要它来获取用户对其所说的“描述”并能够保留它。 例如: "Alexa, description, patent draft
我已经用“标题”和“类别”等对我的产品建立了索引。现在,在我的自动建议中,我想要诸如Amazon / Flipkart之类的东西, 例如,如果我查询“绿色”,建议使用“绿茶”,“绿色衬衫”,“男士绿色
我是英国亚马逊(以及同一帐户上的所有欧盟商城)的注册专业卖家 我有我的卖家帐户 ID、开发者 ID、开发者身份验证 token 和私钥。 在 MWS 暂存器中,我可以发出请求并获得状态 API 的成功
我有一个 Web 服务器在 Ubuntu Amazon EC2 实例上运行,端口为 3000。15.0.0.10 是这个 EC2 实例的私有(private) ip。 在我通过 ssh 进入该实例并运
我在 Amazon S3 中使用 GetSessionToken/GetFederationToken 的临时 session ,我计划拥有超过 10K 个用户,每个用户都可以上传到 S3,所以一开始
我在heroku上有一个django应用程序,它提供来自亚马逊s3存储桶的静态文件。我使用 boto 库并按照网站上的指南进行操作。我可以做什么来加快文件传输速度? 部分代码: DEFAULT_FIL
我正在尝试制作一个小Java程序。 该程序有 3 个整数的输入:S:开始的蚊子,K:每只蚊子生下的 child 的数量,N:我们“调查”的天数。 亚马逊地区的每只蚊子只能存活 1 天。第 0 天,我们
我是一名优秀的程序员,十分优秀!