是這樣的，我們是一個擁有很多用戶的平臺，需要對第三方開發者開放API。不過在用戶token這里我有點亂，大家看看我理解的、還有做法對不對。1.我理解用戶token就有點類似http的cookie，因為api之間是沒有用來維持關系的東西的。當帶著token再次請求api時我就知道是某個用戶登錄了。2.流程：用戶登錄成功后，我為這個用戶創建一個token并保存到數據庫中，返回給開發者這個token，下一次再請求需要權限的API的時候（例如查詢用戶信息），開發者帶上這個token，那么我這邊對比一下數據庫中的token就知道是哪個用戶在請求了，并且知道是合法的請求。上面2條我的理解和做法有錯嗎？我總覺得哪里不妥似得，假如中間被截獲了token，那么不是可以偽造用戶請求？是還需要一個簽名sign嗎？