Refresh token db de tutuluyorsa sifreli kalmali, client tarafta acik olarak saklanabilir. Token refresh ederken bu tokeni alan ip halen ayni ise refresh yapabilsin, degilse yapamasin diye kural koyabilirsiniz. Zaten gecerlilik vb kontrolleri yapiyorsunuz. Tokenlqrin suresi de cok uzun degilse sorun yasanmaz. Client tarafta sifreleyip cozmenin bir avantaji yoktur.
süresi var evet ama tokenle refresh tokenı alan birisi ip kontrolü yapmadıkca refresh token ile token yenileme apisine istek atarsa yenileme tokeninin süresi bitmedikçe istediği kadar token alamaz mı? Ben UI da interceptorda refresh token kontrolü yapıyorum ama apide refresh token farklı platformlardan istek atmaya çalışırsa bunu nasıl engellerim