grinat

Зачем? Куча готового напрhttps://github.com/thoas/picfit
Тумбы генерят на лету примерно так https://github.com/thumbor/thumbor

Если андроид, то забудь про подтверждение, либо смс либо ничего. И эти подтверждения они ничего не дают, ценность email'a с точки зрения лидогенерации околонулевая, а 90% защиту дает от спама дает смс(но по факту много сервисов навроде https://sms-activate.ru/ru/), плюс номера можно могут обрабатывать продажники.

Ну коли страницы рендерить ему еще надо, то либо nestjs либо loopback

Рест уже не в моде, все тут https://github.com/apollographql/apollo-client

В ресте нет никаких спецификаций, есть диссертация с которой все пошло, и куча разных вариаций форматов, которые продвигают для использованию, вот например как один из форматов предлагает решать твои проблемы: https://jsonapi.org/format/#crud-updating-resource... В каком-то проекте так удобно, в каком-то не удобно, в каком-то нужно что-то еще.
Фул он или не фул это вообще не важно, и в оригинале никаких json не было, вроде он на тот момент даже еще и не был придуман. Поэтому делай как удобно, передавай и принимай в формате который удобен(почти все фреймворки из коробки корректно обрабатывают json,xml и form data), а все эти рассуждения о ресте, это как разговоры о том что такое ооп.

На js
document.getElementById('output').innerHTML = this.responseText
console.log(JSON.parse(this.responseText))

<?php

// get the HTTP method, path and body of the request
$method = $_SERVER['REQUEST_METHOD'];
$request = explode('/', trim($_SERVER['PATH_INFO'],'/'));
$input = json_decode(file_get_contents('php://input'),true);

// connect to the mysql database
$link = mysqli_connect('localhost', 'user', 'pass', 'dbname');
mysqli_set_charset($link,'utf8');

// retrieve the table and key from the path
$table = preg_replace('/[^a-z0-9_]+/i','',array_shift($request));
$key = array_shift($request)+0;

// escape the columns and values from the input object
$columns = preg_replace('/[^a-z0-9_]+/i','',array_keys($input));
$values = array_map(function ($value) use ($link) {
    if ($value===null) return null;
    return mysqli_real_escape_string($link,(string)$value);
},array_values($input));

// build the SET part of the SQL command
$set = '';
for ($i=0;$i<count($columns);$i++) {
    $set.=($i>0?',':'').'`'.$columns[$i].'`=';
    $set.=($values[$i]===null?'NULL':'"'.$values[$i].'"');
}

// create SQL based on HTTP method
switch ($method) {
    case 'GET':
        $sql = "select * from `$table`".($key?" WHERE id=$key":''); break;
    case 'PUT':
        $sql = "update `$table` set $set where id=$key"; break;
    case 'POST':
        $sql = "insert into `$table` set $set"; break;
    case 'DELETE':
        $sql = "delete `$table` where id=$key"; break;
}

// excecute SQL statement
$result = mysqli_query($link,$sql);
// теперь на русском
header('Content-Type: application/json; charset=utf-8')
// die if SQL statement failed
if (!$result) {
    http_response_code(404);
    die(mysqli_error());
}

// print results, insert id or affected row count
if ($method == 'GET') {
    $out = array();
    for ($i=0;$i<mysqli_num_rows($result);$i++) {
        $out[] = mysqli_fetch_object($result);
    }
    // не надо вручную json пытаться сделать как в том примере
    echo json_encode($out);
} elseif ($method == 'POST') {
    echo mysqli_insert_id($link);
} else {
    echo mysqli_affected_rows($link);
}

// close mysql connection
mysqli_close($link);