多數采用OAuth2，不過對于盜cookie沒招，走HTTPS吧

api進行token校驗或者簽名，另外對于防刷，要進行限流

后臺可以用token或session進行身份校驗，session更嚴格一些會有超時時間；如果不需要登錄，只是驗證身份，可以利用生成token（可以根據姓名等信息再加上時間戳）并返回，請求接口時每次攜帶該token,并且設置機制，如果請求token過期了，需要請求方重新獲取有效token再次請求該接口；

1.對IP進行過濾，頻繁訪問的進行限制。
2.使用token令牌進行驗證，通過后進行業(yè)務邏輯。
3.不對參數過渡暴露，傳輸的文本根據業(yè)務級別進行加密。

使用token令牌授權，控制ip訪問頻率