拥有一个开放帐户创建端点是否安全？

Question

我想创建一个网页，允许人们在我们的Spring服务器上创建一个帐户。我天真的实现看起来像这样：

• 创建一个端点＆＃39; createaccount＆＃39;网站可以执行发布方法（电子邮件和密码发送给它）
• 创建帐户创建表单（www.myurl.com/createaccount.html）
• 当用户在此站点上填写电子邮件和密码并单击“提交”时，数据将存储在数据库中，并带有一个标记，指示用户尚未确认，同时将电子邮件发送到他的邮件中激活链接
• 当他点击此链接时，用户会被确认

由于我不是网络安全专家，我需要知道是否

• 为此任务设置不受保护的端点是安全的
• 让用户创建帐户有一个更好的选择

提前致谢

Answer 1

我不是安全专家，但这是我能想到的风险：

• 有人可以编写一个自动在系统上创建帐户的脚本。这些帐户可用于访问受保护的端点。
• 有人可以编写一个脚本来枚举电子邮件地址，并使用您的终端来确定您的系统上是否存在电子邮件地址。

在这种情况下人们会做的一些事情：

• Captcha，以防止脚本注册
• 仅邀请注册：新帐户只能由系统的现有用户创建，或者可能仅由管理员用户创建。

如果网站没有大量流量，那么利用端点的人可能不会像高端网站那样大。