对 App 后端的 API 设计的疑问，用户验证与授权方面

分享 / 6391 / 10 / 创建于 8年前

因为第一次给APP写后端接口，对于用户的验证与授权方面看了一些资料，但有个地方不太明白。

现在看的资料上写的是在验证通过时生成一个token，然后后面一些需要授权的操作都由客户端带上这个token

去访问API获取数据。

如果这样的话，用抓包工具抓到了这个token，不就可以在PC端随意操作一些需要授权才可以操作的API了吗？

我自己也测试了一下别人的APP，我抓到我登录的账号的token之后，然后就可以进行批量发帖自动发帖了。这

样是不是有点不好？我实在是没想通这个地方，希望能有朋友帮忙解惑。感谢

10 声望

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

[求职]在郑州工作4年的程序媛的简历优化 14 / 179 |

Laravel验证器最完整用法实例 31 / 14 |

冯老师的困惑——测试和正式环境掐架篇（一） 16 / 23 |

简单对比一下DcatAdmin和filament的各自优缺点 30 / 35 |

面试 POPER 的后端开发工程师的离奇经历 35 / 104 |

Git在项目中的那些实操(持续更新...) 22 / 3 |

讨论数量: 10

(=￣ω￣=)··· 暂无内容！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助