Auth
AM 的 Auth 端点让你无需自行管理令牌、会话或安全细节,即可构建登录、注册和密码相关流程。
这些端点运行在你的认证域名上,覆盖从注册到密码重置的完整认证生命周期。
概览
端点
| Endpoint | 用途 |
|---|---|
POST /auth/sign-up | 使用邮箱/密码注册新用户 |
POST /auth/sign-in | 使用凭据认证 |
POST /auth/sign-in-with-token | 无密码令牌登录 |
GET /auth/me | 获取当前用户资料 |
POST /auth/refresh | 刷新访问令牌 |
GET /auth/csrf-session | 初始化 CSRF 会话 Cookie |
GET /auth/csrf-token | 生成 CSRF 令牌 |
POST /auth/check-email | 检查邮箱及可用登录方式 |
POST /auth/verify | 验证邮箱地址 |
POST /auth/send-magic-link | 发送无密码登录链接 |
POST /auth/send-password-reset | 发送密码重置邮件 |
POST /auth/reset-password | 使用重置令牌设置新密码 |
POST /auth/accept-invite | 接受账户邀请 |
认证流程
返回内容
认证成功后会返回:
- Access Token:短期 JWT(默认 1 小时),用于 API 请求
- Refresh Token:长期令牌(默认 14 天),用于换取新的访问令牌
- User Profile:邮箱、成员关系、身份信息
CSRF 防护
会修改状态的请求必须携带 CSRF 令牌:
- 初始化会话:
GET /auth/csrf-session(设置 HttpOnly Cookie) - 获取令牌:
GET /auth/csrf-token(在X-CSRF-TokenHeader 返回令牌) - 在请求中通过
X-CSRF-TokenHeader 或csrf_tokenBody 字段传递令牌