在AWS Cognito中,我希望仅在确认电话号码和电子邮件后才允许用户登录。有没有类似于GetUserAttributeVerificationCode API调用的方法,我可以在不需要用户的AccessToken的情况下获取代码?
我处于类似的情况,我想通过lambda发送验证码。我试过post认证lambda触发器来检查我们是否获得了accessstoken但没有运气(从安全角度来看这是一件好事)
因此,遗憾的是,没有AdminGetUserAttributeVerificationCode或任何其他方法可以让您在没有访问令牌的情况下向用户发送验证码。这背后的想法似乎是只有登录用户应该能够向他自己而不是其他任何人发送验证码。
可能此限制是为了防止任何人(包括AWS)在未经他们同意的情况下向公众发送批量验证码(垃圾邮件)。