REST API - авторизация/регистрация через соцсети и по email/password

Требуется сделать регистрацию+авторизацию в мобильном приложении через соцсети или через емейл на удалённом REST API сервере (я отвечаю именно за сервер).

Сходу возник вопрос. При регистрации юзера через емейл/пароль, как отличить запрос приложения от запроса какого нибудь ботнета? Если просто принимать на веру что /user/create?email=vasya@a.com&password=pupkin делает только приложение, то можно в один прекрасный день обнаружить тонны "левых" юзеров в базе. Как вариант, можно слать письмо с подтверждающим линком, но может есть другие способы сразу отсеять "левые" запросы?

Другая трудность, регистрация и авторизация на rest api сервере в мобильных приложениях через социальные сети. Что должно прийти от мобильного приложения на сервер и как проверить эту информацию?

Не смог найти внятной информации на эту тему. Подскажите какие-то best practices по реализации, желательно на php.