WEB前后端分离项目，该如何保证安全性？

那拿到什么才有用呢？

谁都不让用呗

用 https 就行了 没有什么好方案

https 不够安全 什么安全

拿到 token 也没用？意思我钥匙给了你你也开不出门？

那我如何才能进这扇门？

网络无安全可言，你只能提高开门门槛，想一下为什么 token 有时效性，参考下微信授权，二维码支付又是如何做的

接口加签名，判断 sign 的签名时间戳，极端点搞个 10 秒有效期，那样他复制到 postman 就过期了，我瞎说的。

签名

接口内容按照约定好的方式加密，做非对称的思路，比如通过 user_id 参与 signature 和密文生成，这样做的话不同用户、不同请求路径、不同请求体，加密出来结果都不一样，哪怕拿到了 token 也无法做实际操作。 如果还想防重放，做下时间同步，然后往 signature 加一个时间戳，做时效检查。

用 https 就完事了

参考微信支付接口

参考支付宝微信的支付接口，签名，公钥私钥域名白名单之类的

没有绝对安全的 只能说相对