1. token主要解決csrf問(wèn)題。token一般為非對(duì)稱加密。如果一次登錄中token是不變的，當(dāng)截獲到token就一定是存在安全問(wèn)題的
2. token作用(主要)不是解決安全性，數(shù)據(jù)安全性解決方案一般用sign

token不來(lái)就不是解決安全問(wèn)題的，問(wèn)的我想打人了

token主要是用來(lái)應(yīng)對(duì)CSRF的

解決安全問(wèn)題:
https, 雙因素認(rèn)證 等等

token是經(jīng)過(guò)AES加密過(guò)的，如果可以正確解密出來(lái)，里頭是放了用戶數(shù)據(jù)的

回答：第一點(diǎn)，如果能夠成功截獲的話，又在token失效期內(nèi)，是可以成功獲取到數(shù)據(jù)的。

 第二點(diǎn)，這個(gè)token是通過(guò)加密算法生成的，有一套對(duì)應(yīng)的規(guī)則。
 第三點(diǎn)，因?yàn)檫@個(gè)token都是驗(yàn)證登錄成功后，后臺(tái)通過(guò)加密即時(shí)生成且唯一的，并在一定的時(shí)間后失效。

如果擔(dān)心token被抓包，可以考慮用https協(xié)議

我覺(jué)得你可以找找json web token 這方面的資料看看

至少token不是連續(xù)的，我不能從1往后試

舉個(gè)例子，比如查看某人的訂單是這樣的/order/${uid}（雖然沒(méi)人這么傻但是不要在乎這些細(xì)節(jié)）

我找到規(guī)律之后只要把uid改一改就可以隨意查看其他人的訂單信息了，這樣不安全，但如果uid并不是連續(xù)的數(shù)字，而是一個(gè)md5加密的32位字符，這個(gè)路子就行不通了