我正在创建一个使用令牌来验证用户的应用。一旦用户登录,他们就会收到一个令牌并做任何涉及将数据插入我的数据库的事情,必须验证令牌。
然而,这导致了一个问题。创建帐户涉及将数据插入我的数据库,但我无法使用令牌身份验证系统,因为他们没有登记因为他们没有登录。
以下是身份验证如何使用令牌
的示例<?php
if(authenticationIsValid($token)){
doSomething()
}else{
exit(0)
}
?>
我的问题是现在我的创建帐户脚本如下所示
<?php
$userName = $_POST['username'];
$password = $_POST['password'];
createAccount($username,$password);
?>
如果网址是www.domain.com/createaccount.php,有人发现了。他们可以轻松地将1000个帐户插入我的数据库。
有什么建议吗?
编辑:
是唯一向用户发送电子邮件确认的解决方案吗?