WEB前后端分离项目，该如何保证安全性？

那拿到什么才有用呢？

谁都不让用呗 :flushed:

用https就行了 没有什么好方案

https 不够安全 什么安全

拿到token也没用？意思我钥匙给了你你也开不出门？

那我如何才能进这扇门？

网络无安全可言，你只能提高开门门槛，想一下为什么 token 有时效性，参考下微信授权，二维码支付又是如何做的

接口加签名，判断sign的签名时间戳，极端点搞个10秒有效期，那样他复制到postman就过期了，我瞎说的。

签名

接口内容按照约定好的方式加密，做非对称的思路，比如通过 user_id 参与 signature 和密文生成，这样做的话不同用户、不同请求路径、不同请求体，加密出来结果都不一样，哪怕拿到了 token 也无法做实际操作。 如果还想防重放，做下时间同步，然后往 signature 加一个时间戳，做时效检查。

用https就完事了

参考微信支付接口 :joy:

参考支付宝微信的支付接口，签名，公钥私钥域名白名单之类的

没有绝对安全的 只能说相对