New-API项目中的GitHub账号注销与重复注册问题分析

在New-API项目的用户认证系统中，发现了一个关于GitHub OAuth登录的系统问题。该问题允许用户通过反复注销和重新注册账号来绕过系统限制，可能导致系统资源被过度使用。

问题原理

当用户通过GitHub账号登录New-API系统时，系统会为每个GitHub账号创建一个唯一的用户记录。正常情况下，用户注销账号后，该GitHub账号应该被标记为已使用，防止同一账号重复注册。然而，当前实现中存在逻辑缺陷：

1. 用户首次通过GitHub OAuth登录时，系统会创建新用户记录
2. 用户选择注销账号后，系统仅删除用户记录，但未保留GitHub账号的关联信息
3. 同一GitHub账号可以再次登录，系统会视为全新用户，创建新的用户记录

技术影响

这种问题可能导致以下情况：

1. 资源过度使用：用户可以反复注册获取系统赠送的初始额度
2. 数据不一致：同一用户可能产生多条用户记录，导致数据冗余
3. 系统风险：可能被用于过度获取系统资源或进行其他不当行为

解决方案

解决此问题需要改进用户注销逻辑，主要修改点应包括：

1. 在用户表中添加GitHub账号唯一标识字段
2. 实现软删除机制，而非物理删除用户记录
3. 在用户注销时，标记GitHub账号为已使用状态而非完全删除
4. 新增登录时的校验逻辑，检查GitHub账号是否已被注册过

核心代码修改应集中在用户认证模块，特别是处理OAuth回调的部分，需要增加对已注销账号的检查逻辑。

最佳实践建议

对于类似系统的开发，建议：

1. 实现完善的账号生命周期管理，包括注册、注销、冻结等状态
2. 对第三方登录账号实施唯一性约束
3. 考虑使用软删除而非物理删除用户数据
4. 记录用户操作日志，便于审计和追踪异常行为
5. 对重要操作如账号注销实施二次确认机制

该问题的解决不仅改善了当前的系统状况，也为系统的用户管理提供了更健壮的架构基础。