是這樣的，我們是一個擁有很多用戶的平臺，需要對第三方開發(fā)者開放API。不過在用戶token這里我有點(diǎn)亂，大家看看我理解的、還有做法對不對。1.我理解用戶token就有點(diǎn)類似http的cookie，因?yàn)閍pi之間是沒有用來維持關(guān)系的東西的。當(dāng)帶著token再次請求api時我就知道是某個用戶登錄了。2.流程：用戶登錄成功后，我為這個用戶創(chuàng)建一個token并保存到數(shù)據(jù)庫中，返回給開發(fā)者這個token，下一次再請求需要權(quán)限的API的時候（例如查詢用戶信息），開發(fā)者帶上這個token，那么我這邊對比一下數(shù)據(jù)庫中的token就知道是哪個用戶在請求了，并且知道是合法的請求。上面2條我的理解和做法有錯嗎？我總覺得哪里不妥似得，假如中間被截獲了token，那么不是可以偽造用戶請求？是還需要一個簽名sign嗎？