比如商品api;获取商品的基本信息等,是否有必要做令牌等安全验证?
取决于你是否希望不受限制的用户访问你的数据,因为拥有客户端程序的人很容易通过抓包搞清楚你的接口的调用,那么他就可以写程序获取你的数据。
你不做验证,意味着,他的程序可以无限制地调用你的服务器得到他需要的数据。
一般来说,对于并不受到关注的小网站,这不是一个问题,但是对于大网站,那么很多人会觊觎你的数据。同时,如果是敏感的数据,那么还是验证比较好。比如说用户的下单、购买之类的,你总不能让没有用户实际权限的人伪造用户的身份去购买吧。
最好都要验证,特别是消耗CPU运算量大的API,高并发时,能把服务搞死都不知道找谁;
只要是对外开放的api 都要有令牌 不然你的api就暴露出来了 然后别人写个程序循环调用 你的服务器就死了
如果接口不做验证,别人就很有可能非法调用你的接口,获取数据,比如删除。。。,不管什么网站最好加上访问验证,防止别人恶意攻击!!!!