我正在构建一个使用用户和Odoo后端的移动应用。用户应该能够通过此移动应用创建用户帐户。我可以连接API并创建用户,但我担心安全性问题。
如果用户已经有一个帐户,则应使用其凭据(登录名和密码)连接到后端。如果没有,他应该能够创建一个帐户。
目前,该用户被允许创建新用户,我可以通过API使用“全局”用户来执行此操作,该用户用于连接到后端并创建真实用户帐户。连接到后端后,将为他提供一个session_id。然后,他可以创建一个新用户。之后,新用户可以使用自己的凭据登录并使用其他服务。
在这种情况下使用的最佳实践是什么?
我应该创建令牌或其他东西来确保可通过设备访问该应用,或避免可能的黑客攻击,例如通过发现数据库名称,服务器和密码,伪造App的使用来创建一堆假用户?我应该采取什么措施来避免此安全问题?
我真的威胁过?我应该真的担心还是已经可以了?
这很可能是软件体系结构问题。任何帮助表示赞赏。谢谢。
您可以为要激活的帐户添加电子邮件验证,或者“我不是自动验证码” ...