在客户端设备AWS临时凭据(STS)上存储安全吗？

Question

我想问您，在调用API的移动设备上存储 AWS临时凭据(Access Key ID、Secret Access Key、Session Token)是否安全？许多消息来源将此描述为授权过程的必要部分。根据下面提到的AWS资源图像：

​

​

​

​

我指的是assumeRoleWithWebIdentity或getCredentialsForIdentity可以获得的凭据。

使用JWT令牌不是更安全吗，以防止侵入这些凭据并获得由它们所保护的资源的访问权？

Answer 1

从STS获得的凭据与JWT令牌没有什么不同(在高级别上)。它们都是暂时的，如果一个“黑客”获得两种类型的证书，结果都是一样的。一般来说，使用临时凭据的一个主要好处是，如果/当临时凭据被破坏时，它们只能在短时间内有效(通常是一个小时)。

在设备上存储临时凭据是一个单独的主题，但是JWT令牌与STS会话凭据没有任何不同。

我没有任何链接，但我确信在设备上的应用程序中存储会话凭据的公共讨论和文档都很好。