現(xiàn)在我所做的項(xiàng)目是前后端分離的，主要是api接口的開發(fā)，登陸邏輯是這樣的，
首先用戶使用賬號(hào)密碼登陸，如果正確的話會(huì)自動(dòng)生成一個(gè)token，并將token存放在redis中，同時(shí)將token返回給前端，之后前端每次調(diào)用api接口的時(shí)候都會(huì)在http的head中增加一個(gè)"X-TOKEN"的頭，里面存放的就是token值，之后就會(huì)將該token和redis中的比較，看是否能成功。
問題在于，如果有人攔截獲取了這個(gè)token值，比如說用戶連接了他家的wifi，然后設(shè)計(jì)一個(gè)ajax按照那個(gè)邏輯存放token值然后訪問api接口，不就可以直接獲取數(shù)據(jù)了嗎，這樣做的安全性在哪？？？