Auth
AM 的 auth 端點讓你在不自行管理 token、session 與安全機制的前提下,建立登入、註冊與密碼相關流程。
這些端點運行在你的驗證網域上,處理從註冊到密碼重設的完整驗證生命週期。
總覽
端點
| Endpoint | 用途 |
|---|---|
POST /auth/sign-up | 以 email/password 註冊新使用者 |
POST /auth/sign-in | 以憑證驗證登入 |
POST /auth/sign-in-with-token | 以無密碼 token 進行驗證 |
GET /auth/me | 取得目前使用者設定檔 |
POST /auth/refresh | 更新 access token |
GET /auth/csrf-session | 初始化 CSRF session cookie |
GET /auth/csrf-token | 產生 CSRF token |
POST /auth/check-email | 檢查 email 與可用登入方式 |
POST /auth/verify | 驗證 email 位址 |
POST /auth/send-magic-link | 寄送無密碼登入連結 |
POST /auth/send-password-reset | 寄送密碼重設郵件 |
POST /auth/reset-password | 用重設 token 設定新密碼 |
POST /auth/accept-invite | 接受帳戶邀請 |
驗證流程
你會得到什麼
驗證成功後會回傳:
- Access Token: 短效 JWT(預設 1 小時),用於 API 請求
- Refresh Token: 長效 token(預設 14 天),用於取得新 access token
- User Profile: email、memberships、identity 資料
CSRF 防護
會改變狀態的請求必須攜帶 CSRF token:
- 初始化 session:
GET /auth/csrf-session(設定 HttpOnly cookie) - 取得 token:
GET /auth/csrf-token(在X-CSRF-Tokenheader 回傳 token) - 在請求中夾帶 token:使用
X-CSRF-Tokenheader 或csrf_tokenbody 欄位
相關
- Authentication - 驗證方式與安全機制
- OAuth - 第三方授權
- 使用者 - 使用者管理