В настоящее время я разрабатываю API. Я использую Strongloop (Loopback).
Я пытаюсь реализовать проверку электронной почты, когда пользователь регистрируется. У меня есть «пользовательская» модель, которая расширяет встроенную «пользовательскую» модель.
Прямо сейчас, когда пользователь регистрируется (POST /users), отправляется электронное письмо со ссылкой на /users/confirm с тремя соответствующими параметрами, т. е. uid, перенаправление и токен. Когда пользователь нажимает на ссылку, адрес электронной почты последнего подтверждается правильно (поле emailVerification становится истинным).
Однако я заметил, что при выполнении запроса POST на /users ответ содержит токен проверки. Это нормально? Разве токен проверки не доступен только через отправленное электронное письмо?
Потому что, как есть, сделав POST-запрос на /users и получив токен подтверждения в ответ, можно легко отправить другой запрос пользователям/подтвердить с соответствующими параметрами (включая токен подтверждения) и проверить адрес электронной почты, даже если адрес не существует.
Я новичок в Strongloop и, возможно, я что-то упускаю. Вы можете помочь?