我正在构建一个使用用户和Odoo后端的移动应用程序。 用户应该能够通过此移动应用创建用户帐户。 我可以连接API并创建用户,但我担心安全问题。
如果用户已经有一个帐户,则应使用其凭据(登录名和密码)连接到后端。如果没有,他应该能够创建一个帐户。
当前,该用户被允许创建新用户,我可以通过API使用“全局”用户来执行此操作,该用户用于连接到后端并创建真实用户帐户。连接到后端后,将为他提供一个session_id。然后,他可以创建一个新用户。之后,新用户可以使用自己的凭据登录并使用其他服务。
在这种情况下,最佳做法是什么?
我应该创建一个令牌或其他东西来确保通过设备访问该应用程序或避免可能的黑客攻击,例如通过发现数据库名称,服务器和密码,伪造App的使用来创建一堆假用户?我应该采取什么措施来避免此安全问题?
我真的威胁过吗?我应该真的担心还是已经可以了?
这很可能是软件体系结构问题。任何帮助表示赞赏。 谢谢。
答案 0 :(得分:-1)
您可以为要激活的帐户添加电子邮件验证,也可以添加“我不是机器人验证码” ...