会话令牌在安全令牌服务(STS)中的用途是什么

Question

响应于诸如'AssumeRole‘等的STS请求，STS服务返回由组成的临时安全凭证。虽然“access-key”用于标识用户，但密钥用于确保(验证)该用户确实是向其颁发临时凭据的那个用户(假设凭据未被窃取)。那么，第三部分“会话/安全令牌”的用途是什么呢？

Answer 1

我不是AWS员工，也没有IAM授权的内部知识，所以这只是猜测。

通过这种方式，我推测会话令牌是一种优化。它看起来是一个base64编码值，我希望它至少包含一个签名的时间戳，用于指示凭据何时过期。这允许AWS的前端服务器快速拒绝过期令牌，而无需查看数据库。

这是一种需要的优化，因为会话标识符的数量预计会比分配给用户的“长期”凭据大几个数量级。