问保护jQuery中的应用编程接口

EN

我有一个应用程序登录页面。访问者输入他们的电话号码，我发送一个链接到他们的手机。

我使用jQuery (Ajax)将这个数字传递给我的API。现在任何人都可以看到该URL。因此，任何人都可以抓取该URL并发送许多请求。我该如何保护它呢？

我已经实现了CSRF Token。现在我用PHP来做这个。生成令牌并将其存储在session上。

但也有一个问题。如果有人加载了登录页面，他们就会获得该token，然后就可以使用该令牌发送请求。我已经用Postman测试过了。

我可以在一次请求后清除该CSRF令牌。但我不想这么做。因为他们可能需要将此链接发送到其他号码。

现在我想做的是，使该网址private，至少使难以找到，只有从我的网站的请求应该被接受，而不是从其他工具。

请帮帮我！