1、在存储的时候把 token 进行对称加密存储,用时解开。
加密后的token被其他人得到以后,需要使用密钥进行解密后才能使用,其他人无法得到密钥就不能得到正确的token
2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。
最好结合1,2两种方式一起使用,token进行加密处理,将请求 URL、时间戳、加密后的token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
3、验证token对应的IP地址或者移动端的设备id
每次请求可以将token和请求的对应的ip地址或设备id保存起来,放到数据库或者redis缓存中,如果后面请求token对应的ip地址或设备id不一样,则视为非法请求
4、HTTPS对请求进行加密和认证,减少其他用户抓取到token的可能性