如果我是会员A 有个token: a之后我申请一个普通用户B,登陆之后拿着这个token:a去调用api,那不就是请求到的都是会员A的东西.请问下有什么解决办法吗
token本来就是用来用户身份识别的,所以一般浏览器等,都会保护好token,防止被第三方窃取。还有就是提供token注销,以及失效机制来一定程度的避免
token刷新机制要定义好啊。同一个端口登录第二个账号,那么token也应当刷新