Noroc adlı üyeden alıntı: mesajı görüntüle
En basit olarak token ekleyebilirsiniz. Saate bir token'nin yenilenmesini saglayarak, eski tokenlardan gelen requestleri kabul etmezsiniz.

ama bu durumda token uygulamaya dönerken yakalar, 1 saat boyunca saldırabilir değil mi



patlican adlı üyeden alıntı: mesajı görüntüle
apiyi verdiğiniz her kişiye özel token oluşturur bu tokenlara domain ve ip adresi ekleyebilir . Gelen request tarafında Token, referer ve ip kontrollerini yapar sorun yoksa api iletişimini devam ettirsiniz.
o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mi