假如中间被截获了token,那么不是可以伪造用户请求?

是这样的,我们是一个拥有很多用户的平台,需要对第三方开发者开放API。
不过在用户token这里我有点乱,大家看看我理解的、还有做法对不对。
1.我理解用户token就有点类似http的cookie,因为api之间是没有用来维持关系的东西的。当带着token再次请求api时我就知道是某个用户登录了。
2.流程:用户登录成功后,我为这个用户创建一个token并保存到数据库中,返回给开发者这个token,下一次再请求需要权限的API的时候(例如查询用户信息),开发者带上这个token,那么我这边对比一下数据库中的token就知道是哪个用户在请求了,并且知道是合法的请求。
上面2条我的理解和做法有错吗?
我总觉得哪里不妥似得,假如中间被截获了token,那么不是可以伪造用户请求?是还需要一个签名sign吗?

慕码人2483693
浏览 236回答 2
2回答

慕容森

不需要签名,最重要的是校验 app_key;另外,为了保障用户隔阂,提倡借鉴腾讯做法,用appkey + 用户id,hash一下得出用户的唯一idoauth2,多看几遍就好

料青山看我应如是

自己内部平台使用(web或者app)用token就够了。api供第三方使用,就是oauth2的典型应用场景。
打开App,查看更多内容
随时随地看视频慕课网APP