Пользователь может редактировать свои данные, включая пароль, что, скорее всего, будет реализовано в auth эндпоинте или через PUT /user/password. Обновление юзернейма не разрешено. При изменении почты необходимо отправлять уведомление на старую почту, которая останется активной до подтверждения новой. Аналогично, при изменении пароля следует отправлять подтверждение, используя шаблоны для уведомлений.
Существует санкция PASSWORD_RESET_BAN, но важно предотвратить ситуации, когда пользователю целенаправленно блокируют сброс пароля, например, после угона аккаунта. Для этого можно использовать капчу или аналогичные методы защиты.
Пользователь может редактировать свои данные, включая пароль, что, скорее всего, будет реализовано в auth эндпоинте или через PUT /user/password. Обновление юзернейма не разрешено. При изменении почты необходимо отправлять уведомление на старую почту, которая останется активной до подтверждения новой. Аналогично, при изменении пароля следует отправлять подтверждение, используя шаблоны для уведомлений.
Существует санкция PASSWORD_RESET_BAN, но важно предотвратить ситуации, когда пользователю целенаправленно блокируют сброс пароля, например, после угона аккаунта. Для этого можно использовать капчу или аналогичные методы защиты.