Ho due API utilizzate in auth
:
-
api/auth/newtoken
: convalida con successo l'utente (ovvero, il nome utente e la password controllano nel DB) e restituiscetoken
(expirers in 3 giorni) erefreshToken
. -
api/auth/updatetoken
: quando il token è scaduto chiama questa API conrefreshToken
e ottieni il nuovotoken
.
Come posso proteggere l'API api/auth/updatetoken
? Tutte queste API sono per un'applicazione Android e sarà facile ottenere queste API una volta che avremo decompresso l'applicazione.
Quali sono alcuni approcci migliori per proteggere questa API?