api 认证安全问题

主要讨论安全问题！如果不明白的请绕道，谢谢。
最近做这个一个Restful的东西。看了很多相关的资料。比如我选一个简单的验证
每一个请求url部分带上auth_token
思路是这样的使用了SSL
1，用户先登陆，然后返回这个token给他。
2，然后用户在每个API请求带上这个token。
因为都使用https那么就是相对安全。
可是如果是JS+html的项目。那么使用这个API就会在Ajax里面直接看到这个请求的token。那么其他除了这个人之外的人就可以用这个token做各种请求。
那么是不是对于ajax这种情况如何保证相对安全。同时不重写Restful api

Cats萌萌

浏览 765回答 3

3回答

GCT1015

Token 的生成是和用户账号相关的（除非你不这样做），登陆成功之后生成的 Token 应该只有这个用户的请求才能用，再加上你是 ssl 加密，除非账号被盗，否则就算拿到了 Token 也没用。另外你也可以在服务端对 Token 有效性进行进一步验证，这里面可用的方法就多了去了，打开脑洞想吧。

猛跑小猪

有标准的，oath2.0

随时随地看视频慕课网APP