danilop/LambdAuth AWS Lambda Github 项目有多安全?
How Secure is the danilop/LambdAuth AWS Lambda Github Project?
我和我的团队几个月来一直在构建我们的销售列表应用程序,现在它处于测试阶段并且拥有很多用户。我们即将实施以下 LambdAuth 示例项目 (https://github.com/danilop/LambdAuth),这是一个 AWS 示例,旨在为我们的用户提供一种注册和登录的方式,但担心潜在的安全问题,因为我们的用户帐户可能包含敏感信息信息。描述的加密是'Passwords are not saved in clear in the database, but "salted" (via HMAC-SHA1) using a dedicated, random salt for each password.'.
这对我们庞大的用户群来说是否足够安全?它容易被黑客攻击吗?除了这个项目之外,是否还需要做进一步的加密工作来为用户提供合理的密码安全性?
我是该项目的作者。我可以确认它从未被安全专家检查过,我的目的更多是为了了解如何构建无服务器应用程序,而不是在生产环境中使用它。我的建议是查看几个月前推出的新 Cognito 用户池,它是一项具有更多功能的完整托管服务:
https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html
我和我的团队几个月来一直在构建我们的销售列表应用程序,现在它处于测试阶段并且拥有很多用户。我们即将实施以下 LambdAuth 示例项目 (https://github.com/danilop/LambdAuth),这是一个 AWS 示例,旨在为我们的用户提供一种注册和登录的方式,但担心潜在的安全问题,因为我们的用户帐户可能包含敏感信息信息。描述的加密是'Passwords are not saved in clear in the database, but "salted" (via HMAC-SHA1) using a dedicated, random salt for each password.'.
这对我们庞大的用户群来说是否足够安全?它容易被黑客攻击吗?除了这个项目之外,是否还需要做进一步的加密工作来为用户提供合理的密码安全性?
我是该项目的作者。我可以确认它从未被安全专家检查过,我的目的更多是为了了解如何构建无服务器应用程序,而不是在生产环境中使用它。我的建议是查看几个月前推出的新 Cognito 用户池,它是一项具有更多功能的完整托管服务: https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html