通过 REST api 创建帐户

Question

我想在node.js 中为我的移动应用创建一个安全 API。 基本上我希望用户能够通过应用程序创建他们的帐户（使用电子邮件和密码），所以我想知道什么是正确的方法。我想像这样：

curl -d '{"email":"hello@world", "password":"1234"}' -H "Content-Type: application/json" -X POST https://myapi/users

所以服务器会回复新创建的用户和 oauth 常用令牌，以便验证下一个请求：

{
   id: '1234455656',
   email: 'hello@world',
   auth_token: 'my_auth_token'
   refresh_token: 'my_refresh_token'
}

感觉这不是最好的安全方式，因为即使没有应用程序，任何人都可以创建用户，我想知道应用程序通常是如何处理这个问题的？也许还有比快递更好的东西来做好这件事

Answer 1

您不希望任何人都能够创建帐户吗？

这里有一些想法：

为了防止用户在没有应用的情况下创建帐户，需要一个 api 密钥以及与应用构建捆绑在一起的注册请求（例如在标头中）。

您还应该要求用户验证他们的电子邮件地址，您可以清理一段时间后没有验证他们的电子邮件地址的用户帐户。