モバイルアプリで使用されるAPIユーザー登録エンドポイント

Question

私は最近、JWTを使用してモバイルアプリケーション用に作成するAPIのユーザーエンドポイントを保護することを学んでいます。

私は現在、ログインしていないシステムを持っています。ここで、アプリケーションユーザーはサーバーに自動的に登録され、自動的に承認され、以降のすべてのリクエストに使用するJWTが発行されます。次の2を除いて、すべてのルートが保護されています。

1）POST/register： 最も重要なものは、保護する方法を理解できませんでした。 URLを持つ人は、現在、ログイン/パスワードのコンボを渡して自分自身を登録し、その後JWTを取得することができます。 登録を私のモバイルアプリケーションに限定したいと思います。どうやってやるの？

2）POST/auth：ログイン/パスワードの検証とJWTの発行に使用します。私が登録を保護することができれば、保護されないままにしてもいいと思います。しかし、私は実際にそれを自分のモバイルクライアントにも制限したいと考えています。

ありがとうございます。

Answer 1

登録を保護するには、エンドポイントを保護するだけでは不十分です。ユーザーはいつもあなたのサーバーにrequestsを作ることができます。

する必要があります。電子メールの検証、電話による検証、またはCaptchaを使用する。これにより、ロボットの登録を防止します。

Googleアカウントでキャプチャライブラリを推奨：

• https://www.google.com/recaptcha/intro/index.html