使用 Cognito 的 forgotPassword 函数时,如果我尝试运行忘记密码方法超过 5 次,我会收到“LimitExceededException”错误。
此时是否有关于此的进一步文档?
This问题在几年前提出了类似的观点,但没有关于任何文档的指导。和 this question 提出了一个类似的问题,评论中沮丧地指出,没有关于等待多长时间的指导。
我希望有以下方面的指导:
用户需要等待多长时间才能再次尝试? 对我的用户说“请稍后再试”没有任何帮助,而没有任何关于何时的指导。在我的测试中,我等了30多分钟后,仍然出现错误。这对用户来说似乎太过分了。
我可以将此保护添加到登录过程中吗? (不仅仅是重置密码过程)。这种安全保护在登录的情况下似乎不会发生。在那里,我可以多次输入错误的密码而不会出现“尝试次数过多”类型的警告。我认为这是一个重要的安全步骤。
最佳答案
We allow five failed sign-in attempts. After that we start temporary lockouts with exponentially increasing times starting at 1 second and doubling after each failed attempt up to about 15 minutes. Attempts during a temporary lockout period are ignored. After the temporary lockout period, if the next attempt fails, a new temporary lockout starts with twice the duration as the last. Waiting about 15 minutes without any attempts will also reset the temporary lockout. Please note that this behavior is subject to change.
关于amazon-cognito - 认知 : Understanding LimitExceededException,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59718910/