Для авторизацию использую пару access токен и refresh. Возникает такая ситуация, что пользователь может вместо access отправлять refresh токен в обычных обращениях к АПИ, что опасно, так как жизнь refresh токена сильно больше. Как не пропускать refresh токен в обычные методы? Была идея запихать в payload является ли он refresh или нет, но должен же быть способ лучше?
<Возникает такая ситуация, что пользователь может вместо access отправлять refresh токен в обычных обращениях к АПИ, что опасно, так как жизнь refresh токена сильно больше. Как не пропускать refresh токен в обычные методы?
Что я пропустил? Вам шлют невалидные данные, вы на это не реагируете