要保护您的WordPress Rest API只能从特定的Android应用程序访问，您可以使用JSON Web Token（JWT）身份验证，该身份验证允许您为每个请求生成具有过期时间的唯一令牌。以下是给出一个示例，说明如何使用Android应用程序包名称生成JWT令牌，并在WordPress网站上仅允许通过该应用程序URL进行访问。

首先，您需要为您的WordPress网站安装启用JWT身份验证插件，例如WP JWT Authentication。

接下来，在您的Android应用程序中，您可以使用以下Java代码生成JWT令牌：

String packageName = getApplicationContext().getPackageName();
String token = null;
try {
  token = JWT.create()
    .withExpiresAt(new Date(System.currentTimeMillis() + 86400000L))
    .withIssuer(packageName)
    .sign(Algorithm.HMAC256("YourSecretKey"));
} catch (Exception e) {
  Log.e("Error", e.toString());
}

在这个示例中，我们使用了packageName来作为JWT的Issuer，以确保只有从此应用程序生成的JWT令牌才能访问WordPress Rest API。此外，我们还指定了JWT过期时间为1天，并使用HMAC256算法与您为您的网站选择的共享密钥进行签名。

最后，您可以使用以下PHP代码在WordPress中验证JWT令牌，并仅允许从具有正确JWT令牌的Android应用程序URL访问Rest API：

function verify_jwt_token($jwt_token) {
  $packageName = "your.package.name";
  try {
    JWT::$leeway = 60;
    JWT::decode($jwt_token, "YourSecretKey", array('HS256'));
    $decoded_token = JWT::decode($jwt_token, "YourSecretKey", array('HS256'));
    if ($decoded_token->iss != $packageName) {
      return false;
    }
    return true;
  } catch (Exception $e) {
    return false;
  }
}

add_filter('rest_authentication_errors', function ($access) {
  if (!is_user_logged_in()) {
    $token = $_SERVER['HTTP_AUTHORIZATION'];
    if (!empty($token) && verify_jwt_token($token)) {
      return $access;
    } else {
      return new WP_Error(
        'rest_forbidden',
        __('REST API is restricted to authenticated users only who use our Android app.'),
        array('status