在S3上的react (web)应用中使用类似于‘`aws sdk`’(和process.env)的东西有多安全？

Question

对于在AWS中完全进行全栈开发，我仍然是个新手，也从未真正探索或尝试过开发我的任何前端react、react原生项目。

坦率地说，aws-amplify提供了一个非常瘦的客户端层，用于在Cognito中执行身份验证工作。但与您在aws-sdk中可以逃脱的功能相比，您的功能非常有限。例如，在See this issue中，有人试图从放大的身份池中列出用户，但随后出现了这条评论，并直接指责aws-sdk与AWS.CognitoIdentityServiceProvider接口

我只是好奇从前端暴露或启用像aws-sdk这样的东西会有多危险。我很确定这是个坏主意，但在这个无服务器的狗屎世界里，我一点也不知道。:/

Answer 1

就像其他任何事情一样，这在很大程度上取决于。只要您没有提交您的.env文件(这可能会导致错误)，而是通过SSM Parameter Store注入这些变量。使用像cloudformation或terraform这样的东西来拉下它们，你可以减少你的内存占用空间，并且不太容易出现“哦，我不是故意要提交那个”的错误。

如果您正在使用ECS Fargate、ECS EC2、Lambda或任何其他原生AWS服务，那么这些参数已经存在紧密耦合。如果你只使用前端，并且依赖于浏览器，那么像Amplify这样的东西会让这变得更加可行和安全。