在将 Cognito OAuth 与 MFA 结合使用时,在需要身份验证的 API 上测试安全路由的最佳方法是什么?
What is the best way to test secure routes on APIs that requires authentication while using Cognito OAuth with MFA?
我正在将 AWS Cognito 与 MFA 结合使用,但我无法使用具有会话的实际用户来测试超级测试用例中的路由。
在没有获得有效令牌的情况下测试经过身份验证的路由的最佳做法是什么?
我尝试用实际用户登录,但我不能这样做,因为我需要 MFA。
我最终得到了一个环境变量,用于检查我们是否处于测试环境中,然后在没有身份验证的情况下创建路由。
不知道有没有更好的方法
据我所知,没有。
MFA 的全部意义在于安全 - 如果有后门,它们就没有意义了。
您还可以创建一个仅用于测试的用户池,它在您的应用程序中不需要 MFA,并在启用 MFA 的生产用户池和禁用 MFA 的测试用户池之间交替。
但是,正如您所描述的,我见过的为端到端测试禁用 MFA 的最简单方法是根据本地安全配置设置禁用整个身份验证。
我正在将 AWS Cognito 与 MFA 结合使用,但我无法使用具有会话的实际用户来测试超级测试用例中的路由。
在没有获得有效令牌的情况下测试经过身份验证的路由的最佳做法是什么?
我尝试用实际用户登录,但我不能这样做,因为我需要 MFA。
我最终得到了一个环境变量,用于检查我们是否处于测试环境中,然后在没有身份验证的情况下创建路由。
不知道有没有更好的方法
据我所知,没有。
MFA 的全部意义在于安全 - 如果有后门,它们就没有意义了。
您还可以创建一个仅用于测试的用户池,它在您的应用程序中不需要 MFA,并在启用 MFA 的生产用户池和禁用 MFA 的测试用户池之间交替。
但是,正如您所描述的,我见过的为端到端测试禁用 MFA 的最简单方法是根据本地安全配置设置禁用整个身份验证。