У меня есть API отдыха, построенный с помощью laravel и одного клиента - мобильного приложения.Для аутентификации не должно быть никаких перенаправлений.
- Я хочу убедиться, что запросы делаются только из мобильного приложения.Я могу попросить мобильный телефон отправить значение API KEY с заголовками, например, и проверить его на бэкэнде, но весь трафик из мобильного приложения может быть пропущен.Как я могу добиться этой авторизации?
- На мобильном приложении пользователи будут иметь возможность пройти аутентификацию.Они предоставят имя пользователя и пароль.Сейчас я создаю токен JWT на сервере и отправляю его в ответ на мобильное приложение.Все дальнейшие запросы, сделанные из мобильного приложения, должны содержать заголовок авторизации со значением токена, поэтому я знаю, кто есть кто на сервере.Мои вопросы:
- Как обновить этот токен?На данный момент у меня есть метод обновления токена, который принимает старый токен и возвращает новый в качестве ответа.Но любой злоумышленник может использовать это, так что я думаю, что это бесполезно.
- Я читал о методе с токенами доступа и обновления.Не могли бы вы объяснить, в чем заключается преимущество этого метода перед одним токеном JWT?Токены доступа и обновления также могут быть пропущены, какой смысл в этом?
Я в замешательстве.