0

为响应诸如“AssumeRole”等 STS 请求,STS 服务返回由 <access-key, secret-key, session/security token> 组成的临时安全凭证。虽然“访问密钥”用于识别用户,但密钥用于确保(验证)用户确实是临时凭证的颁发对象(假设凭证没有被盗)。那么第三部分“会话/安全令牌”的用途是什么?

4

1 回答 1

0

我不是 AWS 员工,也没有 IAM 授权的内部知识,所以这是猜测。

有了这个,我推测会话令牌是一种优化。它似乎是一个 Base64 编码的值,我希望它至少包含一个签名时间戳,指示凭证何时到期。这允许 AWS 的前端服务器快速拒绝过期令牌,而无需查看数据库。

这是一个必要的优化,因为会话标识符的数量可能比分配给用户的“长期”凭据大几个数量级。

于 2021-02-26T17:05:44.253 回答