已經開發好了一套 RESTful API 接口，方便PC端和APP端調用，只進行了 session 認證，每次調用 API 都會檢查當前 session 中是否存在 uid，也就是判斷是否已經有用戶登錄了，這樣可以防止未登錄的用戶調用API接口，但這樣設計肯定有問題，所以我想用 token 方式認證，類似于 github 的 token 認證，在調用 API 時攜帶 token 進行認證，這樣不需要用戶登錄也可以對用戶進行鑒權認證。想法雖然很好，但遇到了一個問題，我的這套 API 接口不僅提供給其他開發者使用，我自己網站也在使用，比如主頁顯示所有用戶，api 為 http://api.example.com/users, 我會在前端用 fetch 請求 http://api.example.com/users，得到返回值后在主頁顯示所有用戶信息。如果我使用 token 認證，那 http://api.example.com/users 這個 API 地址也要加上 token，但這又是網站使用，并非第三方開發者使用，那這個 token 用誰的呢，肯定不能用某個開發者的，那就只能用一個公共的 token,但一旦在PC端API請求時加上了這個公共 token,只要打開開發者工具這個 token 就人盡皆知了，也就失去了認證的意義了。我看了 github 的做法，他的前臺頁面數據讀取都沒有使用 api 接口獲取數據，而是直接返回一個頁面的，包含html和css，比如讀取我的 star 項目，github 請求的 url 是 https://github.com/joyran?pag...，而如果用 api 獲取數據則為 https://api.github.com/users/...，api 只返回數據，而上面那個地址返回完整頁面。這樣用戶即使知道了這個地址 https://github.com/joyran?pag...，但苦于返回的是完整頁面，只能通過正則表達式或者其它方法提取出自己想要的數據，增加了難度。這種方法對于我而已一個不好的地方是要寫兩套接口，一個是API只返回數據，另外一個返回完整頁面，但是我的前臺是React + Redux 開發的，所有的數據請求都是 fetch API接口，然后更新 store 從而更新頁面視圖，如果fetch返回的數據是一個完整頁面，我無法更新 store。還看了下知乎的設計，改版后的知乎也是基于React + Redux開發的，前臺數據的獲取也是通過請求API然后更新store的，知乎的API在請求時沒有認證，可以任意使用，比如 https://www.zhihu.com/api/v4/... 讀取前端話題下的討論，這種方式API就沒有認證了，所有人都可以使用。所以問題來了，知乎那樣設計是不是因為你本來就可以在PC端任意瀏覽話題下的討論，我沒有必要限制你API訪問，畢竟你不用API不用鑒權也可以看到話題下的討論，但是知乎用這種方式很容易讓它的API，而且由于API沒有認證和訪問限制，第三方開發者可以利用這個API開發一些知乎第三方應用了。我的需求是自己和第三方開發者以及移動APP或者微信小程序等公用一套API接口，第三方開發者在PC端使用開發者工具分析出API接口后想要調用必須申請token才能訪問，應該怎么設計，謝謝。