# api/token ****** token 其實和 session 原理差不多，服務端通過給用戶發送一個 token，用戶通過 token 進行請求服務端，這種會話驗證方式一般用于跨平臺開發，以及接口開發，大概步驟為： * 用戶 A 第一次進入，通過驗證機制（賬號密碼登陸）請求服務端 token * 服務端驗證成功，給用戶發送一個 token （針對用戶） * 服務端根據 token，在服務端存儲對應的數據（文件、mysql、redis等） * 用戶 A 端獲取到 token，存儲到用戶端本地 * 用戶 A 請求某接口，帶上token * 服務端通過 token，驗證用戶有效性，返回數據 這種設計理念和 session 相差不大（無論如何變換，都是需要用戶端存儲相應的標識，用于給服務端解析） > 為了安全，服務端可設定 token 有效時間，以及加密 token，每隔一段時間變動一次 token 等。