Tag：完全restful风格的API，关于调用安全的问题，我的想法是这样处理的。

流程：

1.首先用户调用登陆的api，成功登陆的话返回用户的user_id，以及随机生成的token_id。
2.后端直接把user_id和token_id作为键值对放在redis中，固定时间失效。
3.其余api每次调用时都要带上这两个参数，每次都从redis查出比较。其中user_id作为用户识别，多变的token作为登陆flag，过时消失。。
4.ssl

问：这样还有什么问题吗？

还有关于restfulapi 如何防止重攻击，大家有好的方法吗？