对 App 后端的 API 设计的疑问,用户验证与授权方面
因为第一次给APP写后端接口,对于用户的验证与授权方面看了一些资料,但有个地方不太明白。
现在看的资料上写的是在验证通过时生成一个token,然后后面一些需要授权的操作都由客户端带上这个token
去访问API获取数据。
如果这样的话,用抓包工具抓到了这个token,不就可以在PC端随意操作一些需要授权才可以操作的API了吗?
我自己也测试了一下别人的APP,我抓到我登录的账号的token之后,然后就可以进行批量发帖自动发帖了。这
样是不是有点不好? 我实在是没想通这个地方,希望能有朋友帮忙解惑。感谢
推荐文章: