Auth
เอ็นด์พอยต์ auth ของ AM ช่วยให้คุณสร้าง flow สมัครสมาชิก เข้าสู่ระบบ และรหัสผ่านได้โดยไม่ต้องจัดการโทเคน เซสชัน หรือความปลอดภัยด้วยตัวเอง
เอ็นด์พอยต์เหล่านี้ทำงานบนโดเมน auth ของคุณ และครอบคลุมวงจรการยืนยันตัวตนทั้งหมดตั้งแต่การลงทะเบียนจนถึงการรีเซ็ตรหัสผ่าน
ภาพรวม
Endpoints
| Endpoint | วัตถุประสงค์ |
|---|---|
POST /auth/sign-up | ลงทะเบียนผู้ใช้ใหม่ด้วยอีเมล/รหัสผ่าน |
POST /auth/sign-in | ยืนยันตัวตนด้วยข้อมูลรับรอง |
POST /auth/sign-in-with-token | ยืนยันตัวตนแบบไม่ใช้รหัสผ่านด้วยโทเคน |
GET /auth/me | ดึงโปรไฟล์ผู้ใช้ปัจจุบัน |
POST /auth/refresh | รีเฟรช access token |
GET /auth/csrf-session | เริ่มต้นคุกกี้เซสชัน CSRF |
GET /auth/csrf-token | สร้างโทเคน CSRF |
POST /auth/check-email | ตรวจสอบอีเมลและวิธีล็อกอินที่ใช้ได้ |
POST /auth/verify | ยืนยันที่อยู่อีเมล |
POST /auth/send-magic-link | ส่งลิงก์ล็อกอินแบบไม่ใช้รหัสผ่าน |
POST /auth/send-password-reset | ส่งอีเมลรีเซ็ตรหัสผ่าน |
POST /auth/reset-password | ตั้งรหัสผ่านใหม่ด้วยโทเคนรีเซ็ต |
POST /auth/accept-invite | ยอมรับคำเชิญเข้าบัญชี |
ลำดับการยืนยันตัวตน
สิ่งที่ได้กลับมา
เมื่อยืนยันตัวตนสำเร็จ จะได้รับ:
- Access Token: JWT อายุสั้น (ค่าปริยาย 1 ชั่วโมง) สำหรับเรียก API
- Refresh Token: โทเคนอายุยาว (ค่าปริยาย 14 วัน) สำหรับขอ access token ใหม่
- User Profile: อีเมล สมาชิกภาพ และข้อมูลตัวตน
การป้องกัน CSRF
คำขอที่เปลี่ยนสถานะต้องใช้โทเคน CSRF:
- เริ่มต้นเซสชัน:
GET /auth/csrf-session(ตั้งค่า HttpOnly cookie) - ขอรับโทเคน:
GET /auth/csrf-token(ส่งโทเคนกลับมาในเฮดเดอร์X-CSRF-Token) - ใส่โทเคนในคำขอผ่านเฮดเดอร์
X-CSRF-Tokenหรือฟิลด์csrf_tokenใน body
ที่เกี่ยวข้อง
- การยืนยันตัวตน - วิธี auth และความปลอดภัย
- OAuth - การอนุญาตให้บุคคลที่สาม
- ผู้ใช้ - การจัดการผู้ใช้