Yeni yeni php backend öğrenmeye başladım. Mysql'e veri kaydediyorum bunu csrf token oluşturarak sabit bir sayfadan yapılması mantığını kavradım.

Bunu mobil uygulama için öğreniyorum. Örnek olarak bir token oluşturma sayfası yaptım ve sonuç olarak eğer token session üzerinde yoksa yeni bir token veriyor.
Sonrasında bu token ile veri kaydı yapılabiliyor ardından token tekrar sıfırlanıyor. Aynı tokenle veri kaydı yapılamıyor.

Herşey güzel gibi ancak aklıma takılan ve cevabını bulamadığım sorum şu: ben token almak için istek gönderdiğimde uygulamam üzerinden giden istek takip edilip, kötü niyetli kişiler yine token alıp bununla kayıt yapabilirler.

Veya ben mantığı yanlış kurdum. Beni aydınlatır mısınız?