現(xiàn)在我所做的項目是前后端分離的，主要是api接口的開發(fā)，登陸邏輯是這樣的，
首先用戶使用賬號密碼登陸，如果正確的話會自動生成一個token，并將token存放在redis中，同時將token返回給前端，之后前端每次調(diào)用api接口的時候都會在http的head中增加一個"X-TOKEN"的頭，里面存放的就是token值，之后就會將該token和redis中的比較，看是否能成功。
問題在于，如果有人攔截獲取了這個token值，比如說用戶連接了他家的wifi，然后設(shè)計一個ajax按照那個邏輯存放token值然后訪問api接口，不就可以直接獲取數(shù)據(jù)了嗎，這樣做的安全性在哪？？？