Cognito托管UI如何应对密码重置流程中错误录入的用户名

Question

【以下的问题经过翻译处理】 在Cognito托管的UI"forgot your password"流程中，如果用户输入的用户名不存在，则会显示以下消息：

`We have sent a password reset code by email to f***@y***.com. Enter it below to reset your password.`

其中，**f**\*@y\*\*\*.com\*\*是一个“虚假”的电子邮件地址，看起来似乎是使用输入的用户名编造的。

这导致我们的支持团队出现问题，因为用户认为他们的代码被发送到了一个奇怪的电子邮件地址。

我解释了我认为的情况是UI不想告诉用户他们的ID未被发现（出于安全考虑），因此编造了一个虚假的电子邮件地址。**我似乎找不到任何关于此的文档。有人可以指向官方的Cognito文档来解释这个过程吗？**

Answer

【以下的回答经过翻译处理】 你说得对，这种行为是为了保护Cognito客户免受用户名枚举的风险。这种行为在[管理错误信息页面](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-managing-errors.html)中有强调，并在启用了“prevent user existence error”时应用。

```
When you enable custom error responses, Amazon Cognito authentication APIs return a generic authentication failure response. The error response tells you the user name or password is incorrect. Amazon Cognito account confirmation and password recovery APIs return a response indicating a code was sent to a simulated delivery medium.
```

Cognito托管UI如何应对密码重置流程中错误录入的用户名

Relevanter Inhalt