场景:web端通过ajax访问webapi
问题1.在浏览器的调试工具里,是不是可以任意调用api了
问题2.如果登录后把token放到cookie里,那通过$.getCookie("token")我也能拿到token
,然后随便调用api了
问题3.用一次失效一次,返回新token,假如我$getCookie("token")获取到了token,
每调用一次,我也能通过这种方式获取新的有效token,所以怎么保证安全呢?
很头疼啊。。。。求大神帮助,谢谢~我没有C币- -!
只要你对外公开的api接口别人都会有办法调用到,至于是浏览器调试或者服务器发送都可以,token只是增加了调用难度,但是照样可以调用