ما در حال ارزیابی هستیم که کدام نوع مجوز برای استفاده از API های AppSync برای تولید ما استفاده می کند.

طبق اسناد AWS (https://docs.aws.amazon.com/appsync/latest/devguide/securance.html ، https://aws.amazon.com/blogs/mobile/using-multiple-authorization- انواع-با-aws-appsync-Graphql-apis /) ، AppSync از چندین نوع مجوز پشتیبانی می کند – مانند کلید API مبتنی بر (عبور از یک کلید API استاتیک) ، بر اساس نقش IAM. & IAM مبتنی بر این:

1) چرا اگر تمام تماس های AppSync مبتنی بر HTTPS (دارای رمزگذاری خوب است) ، با استفاده از یک کلید APP استاتیک برای موارد استفاده تولید بد تلقی می شود؟

2) چرا نمی توانیم از کلید زندگی کوتاه خود به همراه کلید API استفاده کنیم و آن را در یک حل کننده اعتبار دهیم؟ با کوتاه شدن متن ، این پویایی به وجود می آورد ، حتی اگر کسی این نشان را هک کند و به آن دست پیدا کند. توسط آنها زمان پخش دوباره اتفاق می افتد که کد آن قبلاً منقضی شده است؟ استفاده از IAM Auth از Amazon Cognito چقدر امن تر خواهد بود. نقش برای این از یک رویکرد نشانه دستی است؟ آیا استاندارد SIGV4 مورد استفاده AWS به هر حال در اینجا کمک می کند؟