我想使用django rest框架实现用户注册端点。端点是公共的,任何人都可以注册新用户以便能够访问该站点的受限版本。注册端点将采用POST操作和JSON对象,其中包含名字,姓氏,电子邮件和密码。问题是因为端点的性质是公共的,有人可以编写pyCurl脚本来创建一堆新用户,我想避免这种情况。如何正确保护我的端点以避免这种情况?我现在不知道采取什么行动。我可以使用CSRF和django模板制作注册页面。这可能是一个解决方案,让应用程序的其余部分可以在angular2下运行。理想情况下,我想避免这种情况。
任何想法?感谢
答案 0 :(得分:0)
一种解决方案是验证新注册用户的电子邮件。创建的用户将被设置为非活动状态,直到他们验证了他们的电子邮件地址。 验证可以通过在其电子邮件地址发送包含令牌和UID(请参阅django的PasswordResetTokenGenerator)的链接来完成。通过此链接,用户可以激活他的帐户并登录您的网站。
对于CSRF,在将数据发送到服务器(post,put,patch等)时应始终使用它