我在auth
1)API / AUTH / newtoken
成功验证用户(即用户名和密码检查数据库)并返回token(已过期:3天)和refreshToken。
1)API / AUTH / updatetoken
令牌过期时,请使用refreshToken调用此API并获取新的token。
我的问题是如何保护api/auth/updatetoken api?当前这个api用于Android应用程序,一旦我们将应用程序整合在一起就很容易得到这个api。
有什么更好的方法可以保护这个API?
答案 0 :(得分:0)
保存设备ID然后进行刷新,您可以检查提交的设备ID是否正确,如有必要也使用IP