我正在构建一个使用用户和Odoo后端的移动应用程序。用户应该能够通过此移动应用程序创建用户帐户。我可以连接API并创建用户,但我担心安全问题。
如果用户已经有一个帐户,他应该使用他的凭据(登录名和密码(连接到后端。如果没有,他应该能够创建一个帐户。
目前,用户可以创建新用户,我可以通过API与"全局"用户一起创建新用户。我使用该用户连接到后端并创建真正的用户帐户。在连接到后端之后,他会得到一个session_id。然后他可以创建一个新用户。之后,新用户可以使用自己的凭据登录并使用其他服务。
在这种情况下,最佳做法是什么?
我应该创建一个令牌或其他东西来确保通过设备访问应用程序,或者避免可能的黑客攻击,例如通过发现数据库名称、服务器和密码,通过伪造应用程序的使用来创建一群假用户?我应该执行什么来避免这个安全问题?
我真的受到威胁了吗?我真的应该担心还是已经没事了?
这很可能是一个软件体系结构问题。感谢您的帮助。非常感谢。
您可以为要激活的帐户添加电子邮件验证,或者"我不是机器人captcha"。。。