认证
AM 负责处理凭据校验、密码哈希和魔法链接,你可以专注在应用业务逻辑本身。
你可以按用户场景选择认证方式: 企业场景用传统密码,消费级场景用魔法链接。
认证方式
邮箱 + 密码
凭据使用 PBKDF2 哈希。用户通过邮箱和密码注册,再用同样的方式登录。
User ──▶ Email + Password ──▶ PBKDF2 Verify ──▶ Issue Tokens魔法链接
通过一次性邮件链接进行无密码认证。用户点击链接即可完成登录。
密码重置
当用户忘记凭据时,使用安全恢复流程:
- 用户通过
/auth/send-password-reset发起重置 - 向已验证邮箱发送带时效的重置令牌
- 用户通过
/auth/reset-password设置新密码
Token 生命周期
| Token | 默认值 | 用途 |
|---|---|---|
| Access Token | 1 hour | API 授权 |
| Refresh Token | 14 days | 获取新的访问令牌 |
| CSRF Token | Session | 防止跨站请求攻击 |
生命周期可以按客户端进行配置。
安全性
- PBKDF2 哈希:行业标准的密码存储方式
- 速率限制:防止暴力破解
- CSRF 防护:状态变更请求必须携带令牌
- 安全 Cookie:支持 HttpOnly、Secure、SameSite 选项