En basit olarak token ekleyebilirsiniz. Saate bir token'nin yenilenmesini saglayarak, eski tokenlardan gelen requestleri kabul etmezsiniz.
ama bu durumda token uygulamaya dönerken yakalar, 1 saat boyunca saldırabilir değil mi
apiyi verdiğiniz her kişiye özel token oluşturur bu tokenlara domain ve ip adresi ekleyebilir . Gelen request tarafında Token, referer ve ip kontrollerini yapar sorun yoksa api iletişimini devam ettirsiniz.
o zaman saldıran kişi de register formunu çalıştırınca kendine özel bir token sahip olmuş olur, kendi bilgisayarından tek user gibi saldırabilir değil mi