RESTful重置密码和确认电子邮件

如果您希望您的URI引用资源，那么将资源命名为confirmation并向用户帐户POST确认。

POST /users/{userid}/confirmation

真正的RESTful答案是URL并不重要，你无论如何都会在确认电子邮件中放置它，以便收件人进行跟踪。使用对于负载均衡器、反向代理、服务器等最方便的内容。
为了方便起见，即使确认请求以GET请求的形式发送，您也将最终接受它，因为这是肉体人类在点击电子邮件中的链接时浏览器所发送的（他们对Dr Roy T. Fielding等人毫不知情） :-)
既然已经完全学术化，我认为您考虑使用PUT是正确的，因为客户端幂等地放置了访问电子邮件的证据。重复请求没有进一步的影响。

考虑到他提供的是为那些忘记密码的人提供重置服务，而不是已经登录的人提供更改密码服务...... 我建议使用两个服务。第一个服务用于请求重置密码邮件，第二个服务用于使用接收到的令牌设置新密码。
对于第一个服务： POST baseUrl/passwordReset 请求体

{
   "email" : "my@self.com"
}

这可以是POST或PUT，但是由于邮件投递不是受CRUD控制的资源，因此让我们不要过于追求细节，使用在html表单中经常使用的旧POST。

显然，我会控制同一客户端（ip？浏览器？...）不会在一分钟内向我发送20K封邮件。

将邮件发送给用户并不意味着旧密码无效。只有在第二个请求中更新新密码时才会发生这种情况。

响应204（即使您不知道该电子邮件，也应该执行此操作，因为如果返回错误，则意味着当您没有返回错误时，您正在向陌生人确认给定的电子邮件已注册）

对于第二个:
POST baseUrl/password
请求正文

{
    "token" : "3D21BA...4F",
    "newPassword" : "m%4pW1!O"
}

收到令牌的地方是在邮件中。因此，邮件可能会有一个链接到包含令牌的页面，当页面加载时，表单被填写并提交，令牌是一个隐藏字段，一些JavaScript从URL中读取并放在这里。

这实际上是一个需要更新的资源，所以使用POST方法。我认为没有必要为两个不同的资源/实体使用相同的URI和2个动词。

另外，我会将两者都设置为仅HTTPS，并且将所有敏感信息放在正文中，而不是URL参数中。

这是一种RESTful的方式。

请求

PUT /{userid}/email HTTP/1.1
Content-Type: text/json+confirmation-code

{"activateCode": "23sfgsg3twt3rgsdhgs"}

响应

HTTP/1.1 200 OK
Content-Type: text/json+email-status
{"email": "my-email@address.com", "active": "true"}

URI中不需要动词 :)

首先，我认为PUT不是正确的方法。 PUT的广义含义是“把这个放在这里”，其中URL标识内容应该位于何处。您实际上是要求现有资源执行某些操作，这使得POST更加正确。
回答您的直接问题，RESTful URL应该标识您想要处理请求的资源。在这种情况下，资源可以是用户或用户内的某个密码重置资源。
我的首选是密码重置资源： POST /users/{userid}/password-reset 从HTTP的角度来看，这是有意义的，因为您可以对资源发出GET请求，并收到指示如何执行密码重置的内容（例如提示关联帐户的电子邮件地址的HTML表单）。
编辑：
为了进行电子邮件验证，有两个明显的选择。您可以将电子邮件地址和确认数据POST到“确认电子邮件”资源，以请求服务器处理确认，或者您可以执行PUT将确认信息放在服务器上：

POST /users/{userid}/confirm-email

或者

PUT /users/{userid}/email-confirmation

我认为像第一个例子中那样拥有confirmEmail并没有什么问题。在URL中，您有用户的密钥，confirmEmail是操作，并且该操作的数据在查询字符串中。

最近我在编程中处理了以下内容：

POST /{base_url}/password

因为我实际上正在创建一个新的随机密码并将其发送给用户。

另外：

PUT /{base_url}/confirmation?token=...

因为我正在更新用户注册时已经发送的确认信息。