目前是采用json web token這種機制，驗證合法用戶后返回一個toekn，然后該用戶每次請求都帶上這個token，最后服務器驗證token是否合法。但是這樣有一個弊端：token很容易讓別人獲取到，這樣就能訪問任意的api，不安全。這需要用上https來保證安全？想請教一下大家有哪些更好更安全的認證機制。