您所在的位置： &
Web API之认证（Authentication）两种实现方式(1)
Web API之认证（Authentication）两种实现方式(1)
xpy0928的博客
对于所谓的认证说到底就是安全问题，在Web API中有多种方式来实现安全，【accepted】方式来处理基于IIS的安全（通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证）或者在Web API里通过使用Web API中的消息处理机制，但是如果我们想应用程序运行在IIS之外此时Windows Idenitity这一方式似乎就不太可能了，同时在Web API中本身就未提供如何处理认证的直接方式，我们不得不自定义来实现认证功能，同时这也是我们所推荐的方式，自己动手，丰衣足食。
对于所谓的认证说到底就是安全问题，在Web API中有多种方式来实现安全，【accepted】方式来处理基于IIS的安全（通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证）或者在Web API里通过使用Web API中的消息处理机制，但是如果我们想应用程序运行在IIS之外此时Windows Idenitity这一方式似乎就不太可能了，同时在Web API中本身就未提供如何处理认证的直接方式，我们不得不自定义来实现认证功能，同时这也是我们所推荐的方式，自己动手，丰衣足食。
温馨提示：下面实现方法皆基于基础认证，若不熟悉Http协议中的Basic基础认证，请先参看此篇文章【园友海鸟-介绍Basic基础认证和Diges摘要认证】。
无论何种方式，对于我们的应用程序我们都需要在业务层使用基于凭证的用户认证，因为是客户端一方的需求，所以客户端需要明确基础验证，基础认证（Basic）非常简单并且支持任何Web客户端，但是基础验证的缺点是不安全，通过使用SSL则可以进行加密就可以在一定程度上保证了安全，如果是对于一般的应用程序通过基础认证只是进行编码而未加密也可以说是安全的。我们还是看看上一节所给图片
通过上述图片的粗略信息我们可以看出在请求到Action方法之间要经过Web API消息处理管道，在请求到目标元素之前要经过HttpMessageHandler和认证过滤器，所以我们可以通过这两者来自定义实现认证。下面我们一一来看。
基于Web API的认证过滤器(AuthorizationFilterAttribute)实现认证
我们自定义一个认证身份（用户名和密码）的类，那么此类必须也就要继承于 GenericIdentity ，既然是基于基础验证，那么类型当然也就是Basic了。
public&class&BasicAuthenticationIdentity&:&GenericIdentity&{&public&string&Password&{&&&}&public&BasicAuthenticationIdentity(string&name,&string&password)&:&base(name,&&Basic&)&{&this.Password&=&&}&}&
我们要自定义一个认证过滤器特性，并继承 AuthorizationFilterAttribute ，此时会变成如下：
public&class&BasicAuthenticationFilter&:&AuthorizationFilterAttribute&{&public&override&void&OnAuthorization(HttpActionContext&actionContext)&{}&}&
那么在这个重写的方法我们应该写什么呢？我们慢慢来分析！请往下看。
解析请求报文头
首先对于客户单发送过来的请求我们肯定是需要获得请求报头，然后解析请求报头中的Authorization，若此时其参数为空，我们将返回到客户端，并发起质询。
&string&authParameter&=&null;&&var&authValue&=&actionContext.Request.Headers.A&&if&(authValue&!=&null&&&&authValue.Scheme&==&&Basic&)&authParameter&=&authValue.P&&&if&(string.IsNullOrEmpty(authParameter))&&return&null;&
次之，若此时认证中的参数不为空并开始对其进行编码，并返回一个BasicAuthenticationIdentity对象，若此时对象为空，则同样返回到客户端，并发起质询
uthParameter&=&Encoding.Default.GetString(Convert.FromBase64String(authParameter));&&&var&authToken&=&authParameter.Split(':');&&if&(authToken.Length&&&2)&return&null;&&return&new&BasicAuthenticationIdentity(authToken[0],&authToken[1]);&&
最后，我们将上述两者封装为一个ParseHeader方法以便进行调用
&public&virtual&BasicAuthenticationIdentity&ParseHeader(HttpActionContext&actionContext)&{&string&authParameter&=&null;&&var&authValue&=&actionContext.Request.Headers.A&if&(authValue&!=&null&&&&authValue.Scheme&==&&Basic&)&authParameter&=&authValue.P&&if&(string.IsNullOrEmpty(authParameter))&&return&null;&&authParameter&=&Encoding.Default.GetString(Convert.FromBase64String(authParameter));&&var&authToken&=&authParameter.Split(':');&if&(authToken.Length&&&2)&return&null;&&return&new&BasicAuthenticationIdentity(authToken[0],&authToken[1]);&}&
接下来我们将认证未通过而需要发起认证质询，我们将其封装为一个方法Challenge
void&Challenge(HttpActionContext&actionContext)&{&var&host&=&actionContext.Request.RequestUri.DnsSafeH&actionContext.Response&=&actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);&actionContext.Response.Headers.Add(&WWW-Authenticate&,&string.Format(&Basic&realm=\&{0}\&&,&host));&&}&
定义一个方法便于对用户名和密码进行校验，并将其修饰为虚方法，以免后续要添加其他有关用户数
&public&virtual&bool&OnAuthorize(string&userName,&string&userPassword,&HttpActionContext&actionContext)&{&if&(string.IsNullOrEmpty(userName)&||&string.IsNullOrEmpty(userPassword))&&return&false;&else&return&true;&&}&
在认证成功后将认证身份设置给当前线程中Principal属性
ar&principal&=&new&GenericPrincipal(identity,&null);&&Thread.CurrentPrincipal&=&&&&&&
一切已经就绪，此时在重写方法中进行相应的调用即可，如下：
&[AttributeUsage(AttributeTargets.Class&|&AttributeTargets.Method,&AllowMultiple&=&false)]&public&class&BasicAuthenticationFilter&:&AuthorizationFilterAttribute&{&public&override&void&OnAuthorization(HttpActionContext&actionContext)&{&var&userIdentity&=&ParseHeader(actionContext);&if&(userIdentity&==&null)&{&Challenge(actionContext);&return;&}&&if&(!OnAuthorize(userIdentity.Name,&userIdentity.Password,&actionContext))&{&Challenge(actionContext);&return;&}&&var&principal&=&new&GenericPrincipal(userIdentity,&null);&&Thread.CurrentPrincipal&=&&&base.OnAuthorization(actionContext);&}&
内容导航&第 1 页： &第 2 页： &第 3 页：
关于&&&&的更多文章
Web Components是W3C定义的新标准，目前还处于草案阶段，但各大
既然强大的Android Studio来了，有什么理由不去用呢？
讲师： 6人学习过讲师： 24人学习过讲师： 26人学习过
从14年到现在短短一年的时间，小米、携程、网易、1230
我们看到，越来越多的创业者基于富媒体打造场景化社交
由51CTO传媒主办的 WOT2015 移动互联网开发者大会即将
本书是根据全国计算机技术与软件专业技术资格（水平）考试《网络管理员考试大纲》所要求的考试范围而编写的试题集。全书共分10个
Windows Phone专家
Android开发专家
51CTO旗下网站可可网络验证最新资讯
【可可网络验证系统】实现安全的网络验证功能，是您软件收费的好助手。
当前位置：软件资讯 → 可可网络验证API调用流程简述
可可网络验证API调用流程简述
普通EXE模式（登陆器和你的程序在一个进程）
1、程序载入时调用ks_setLicense(授权Key)
2、登陆窗口载入时调用
ks_setExtVal(0, "","c:/kss.ini",6000,是否双服,"rsa模数","rsa公钥","","","")
3、窗体上加上登录、注册、充值、修改、解绑、查询等按钮
并加上相应的数据输入框以便用户输入参数
【注册帐号】调用 ks_reguser(参数1,..,参数n)
【帐号充值】调用 ks_prepaid(参数1,..,参数n)
【修改帐号信息】调用 ks_edit(参数1,..,参数n)
【解除硬件绑定】调用ks_unbind(参数1,..,参数n)
【查询卡或用户】调用ks_viewinfo(参数1,..,参数n)
4、登录按钮事件（也就是登陆验证）
4.1、ks_setSoftVal
设置软件信息
4.2、ks_setUpVal 设置自动更新需要的参数
4.3、ks_setUserVal
设置客户端ID，用户帐号密码或注册卡号
4.4、然后ks_IdCheck来验证用户身份是否合法
5、登录成功后，
使用ks_GetData、ks_advapi、ks_advapifree对程序数据进行一些必要的保护
可以继续每几分钟调用一次ks_IdCheck来验证，
6、程序关闭时必须调用ks_exit()
进程通讯模式
你的程序有多个进程，或者是登陆后需要注入DLL才需要用到进程通讯模式
A.父进程（也就是登陆器）
-----------------------------------------------------------------------
1、程序载入时调用ks_setLicense(授权Key)
2、登陆窗口载入时调用
ks_setExtVal(0, "","c:/kss.ini",6000,是否双服,"rsa模数","rsa公钥","","","")
3、窗体上加上登录、注册、充值、修改、解绑、查询等按钮
并加上相应的数据输入框以便用户输入参数
【注册帐号】调用 ks_reguser
【帐号充值】调用 ks_prepaid
【修改帐号信息】调用 ks_edit
【解除硬件绑定】调用ks_unbind
【查询卡或用户】调用ks_viewinfo
4、登录按钮事件（也就是登陆验证）
4.1、ks_setSoftVal
设置软件信息
4.2、ks_setUpVal 设置自动更新需要的参数
4.3、ks_setUserVal
设置客户端ID，用户帐号密码或注册卡号
4.4、然后ks_IdCheck来验证用户身份是否合法
5、验证通过，载入一个新窗口（监控窗口）
5.1、监控窗口载入时 IPC_Start(端口号, 可开子进程数量)来初始化IPC进程通讯监控端
5.2、处理完以上之后，就可以启动子进程（例如注入DLL等等）
6、监控窗口关闭时需调用 ks_exit()
-----------------------------------------------------------------------
子进程指的是你的程序多开的进程或是需要注入到其它程序的DLL进程
1、调用IPC_Connect(端口号)来与监控窗口建立关系
2、程序运行中，可通过
IPC_IdCheck
IPC_GetData
IPC_advapi
IPC_advapifree来和父进程通讯取得想要的数据
武汉市洪山区火云网络工作室　　　　
联系电话:400- 　月付版QQ群:
　售前咨询QQ:&&
友情提示：联系本站客服QQ时，请直接讲主题，不要问在不在<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
您的访问请求被拒绝 403 Forbidden - ITeye技术社区
您的访问请求被拒绝
亲爱的会员，您的IP地址所在网段被ITeye拒绝服务，这可能是以下两种情况导致：
一、您所在的网段内有网络爬虫大量抓取ITeye网页，为保证其他人流畅的访问ITeye，该网段被ITeye拒绝
二、您通过某个代理服务器访问ITeye网站，该代理服务器被网络爬虫利用，大量抓取ITeye网页
请您点击按钮解除封锁&常见问题 | 高德地图开放平台 | 高德地图API
Android平台
服务端开发
移动端开发
您现在的位置： >
> 账号与KEY
Q：高德地图API收费麽？
最近好多用户问我们收不收费。高小爱负责任地告诉大家：从日起，我们限时免费102年！
高德LBS开放平台提供的全部通用版API/SDK都是不收取费用的，大家可以放心地使用。
如果您需要商用，直接发送您的公司简介、应用简介、联系人、联系方式到进行报备即可。
Q: 高德地图API的服务调用次数有什么限制？
1.重要的事情说三遍:
&&&&Android、iOS、JavaScript、windows四个平台SDK/API产品，开发者可无限次调用，不作配额限制；
&&&&Android、iOS、JavaScript、windows四个平台SDK/API产品，开发者可无限次调用，不作配额限制；
&&&&Android、iOS、JavaScript、windows四个平台SDK/API产品，开发者可无限次调用，不作配额限制；
2.Web服务API调用次数区分初级与企业级，调用配额如下：
日调用超量封停
1分钟调用超量封停
日调用超量报警
1分钟调用超频报警
地理/逆地理编码
如果您是企业级key，但调用量依旧超限，可将您的应用名称、简介、使用的服务、key、联系人及手机号，发送至，备案后，我们会酌情为您开通高级权限。
Q：如何成为高德开发者？
成为高德开发者，需要分两步：
第一步，注册一个高德账号，注册地址：；
第二步，在登录状态下，点击“成为开发者”，进入开发者注册流程。
目前，高德开发者分为【个人开发者】和【企业开发者】
二者在服务调用权限上是有一定差别的，具体可参见（常见问题：个人开发者与企业开发者的区别），所以，还请大家结合自身使用场景及需求做选择。
具体操作方法参见：
Q：官网新版控制台怎么使用？
我们于近期改版了官网控制台，有用户反馈，还不太会用，别着急！
PM整理了一个使用说明供您参考，具体操作方法参见：
Q：国外手机号能申请成为开发者么？
如果您拥有非大陆地区手机号，也可成为高德开发者。
您需要先注册一个高德账号，然后点击“成为高德开发者”，进入，完成注册即可。
我们现在只对开发者的邮箱就行验证，所以，您只要填写的邮箱正确无误，就能完成注册。
那么问题来了，没有国内手机如何完成高德账号注册？只要您有淘宝、新浪或者QQ账号，只需一步即可注册：
点击登录，选择登录页面下方，用“淘宝”、“新浪微博”或“QQ”登录，您便拥有高德账号了
点击用户名，进入个人信息页面，标红部分，就是您的高德用户了
Q：高德地图的logo能遮挡麽？
高德地图API通用版是免费使用的喔，您真的忍心遮挡我们的logo麽？泪汪汪……%>_&%……
logo不可以遮挡喔，不然我们的法务老爷子会找您麻烦的喔~
Q：企业用户和个人用户有什么区别？
个人用户和企业用户在申请流程、服务调用场景和权限上都是有差别的。
1、申请流程
个人用户：填写个人信息（包括：姓名、手机、邮箱等），信息验证成功后，即可成为高德个人开发者。
企业用户：企业用户需填写企业信息并提交企业营业证照扫描件，我们会在后台对企业资质进行审核，审核时间为1-3个工作日，审核通过即可成为企业开发者。
审核期间，申请企业享受个人开发者权限。
2、服务场景及权限
1、公司研发技术选型期；2、新产品研发，测试阶段；3、学生、研究所或个人兴趣学习研究
1、有营运资质的企业主体；2、有较高服务调用需求,如：已经投放市场，并有一定用户基础的APP、网站或硬件产品；
1、免费使用开放平台除“智能硬件定位服务”外的所有产品和服务（配额见下表）；2、产品经理提供线上技术支持（渠道：论坛、邮箱）
1、免费使用开放平台所有服务和产品；2、获得更高服务调用配额（详见下方对照表）；3、高优采纳需求反馈，提供技术支持；4、优先获得商务支持、运营合作机会；
3、服务调用量配额说明
1.Android SDK、iOS SDK、JavaScript API、WP SDK四个平台产品，个人开发者与企业开发者享有同等调用权限，均不作配额限制；
2.“智能硬件定位服务”仅针对企业开发者开放；
3.Web服务API区分个人与企业权限，调用配额如下：
个人开发者
个人开发者
企业开发者
企业开发者
日调用超量封停
1分钟调用超量封停
日调用超量报警
1分钟调用超频报警
地理/逆地理编码
您可以在我的控制台->里，查看自己的帐户身份
如果您正在申请企业权限，账户身份显示：个人开发者，审核通过，自动升级为企业开发者。
如果您的企业权限未通过审核，账户身份显示：个人开发者，并提示未通过原因，您可重新申请。
Q：忘记账号怎么办？忘记密码怎么办？
如果您不小心忘记了密码，可以通过手机号和邮箱找回，请。
如果您不记得自己的账号，可以将您的姓名、公司、现有手机号、现有邮箱、KEY等信息发送至，我们会帮您找回该账号，和该账号绑定的手机号、邮箱，协助您找回密码。
为了保护的开发者账号安全，如果您的账号没有绑定手机号和邮箱，那么密码是找不回来的！这个血淋淋的故事告诉我们，给自己的账号绑定一个手机和邮箱是多么的重要和可靠！
Q：注册时收不到邮箱验证码怎么办？
1、换个邮箱试试
2、请在邮箱->设置-->域白名单里，将@设置成为白名单。
3、如果还不能收到验证邮件，请将您的高德账号、注册手机号、注册邮箱等信息发送至，我们会帮您直接创建开发者账号。请注意信息的真实性，否则无法找回密码喔。
Q：如何申请key？如何注册key？
第一步，您需要首先注册成为高德开发者，才能进入控制台
注册方法请参见：
高德账号注册地址：
高德开发者申请地址：
第二步，进入控制台，申请并管理应用及Key
应用及Key的申请及管理方法请参见：
新版控制台地址：
Q：新版KEY和旧版KEY有什么区别呢？新申请的KEY为何无法使用？
新版KEY适用于所有新版本的API/SDK，拥有更加安全的密钥机制，更便捷的管理方式，更改数字签名和安全码更加灵活。
旧版KEY显示在密钥管理页面的下方，只适用于旧版本API/SDK。日起，我们将不再提供旧版KEY的技术支持，并停止其的维护，建议开发者即刻申请新版KEY，和升级新版SDK。
如果您注册了新的KEY，需要下载最新的SDK/API才能使用喔。新版KEY对应新版SDK/API的关系如下：
JavaScriptAPI：新版KEY适用于高德地图JavaScriptAPI V1.2服务插件及以上版本，不适用于JavaScriptAPI V1.2旧版服务及下版本。
iOS SDK：新版KEY适用于高德地图 iOS SDK V2.3.0版本（含）以上版本；旧版KEY只适用于V2.3.0（不含）以下版本。
iOS云图SDK：新版KEY适用于高德iOS云图SDKv1.1.0版本（含）以上版本；旧版KEY只适用于v1.0.0版本。
Android SDK:新版KEY适用于高德地图 Android SDK V2.3.0版本（含）以上版本；旧版KEY只适用于V2.3.0（不含）以下版本。
Android 定位SDK：Android定位SDK V1.3.0版本（含）以上版本；旧版KEY只适用于V1.3.0（不含）以下版本。
Android 导航SDK:Android导航SDK V1.1.0版本（含）以上版本；旧版KEY只适用于V1.1.0（不含）以下版本。
Android 云图SDK：新版KEY适用于高德Android 云图SDK V1.1.0版本（含）以上版本；旧版KEY只适用于V1.0.0版本。
如果新申请的KEY对应了新下载的SDK包，还无法使用，请检查您的sha1或boundid是否正确绑定。
Q：能否删除已经申请过的KEY？
目前，支持KEY删除功能，但删除的Key无法恢复，还请您谨慎操作。
Q：2015年2月会暂停哪些旧版服务？
为了为各位开发者提供更优质的产品和服务，开放平台即将于日起停止旧版SDK与API的相关服务与支持，请各位开发者尽快将产品使用的SDK与API升级到最新版本。
届时停止服务的SDK与API对应版本如下：
Windows Phone SDK: V2.0.0 及以下版本
IOS SDK： V2.0.6.1 及以下版本
Android SDK：V2.0.4 及以下版本
JavaScript API：JavaScript API V1.2旧版服务（服务插件为新版服务）及下版本。
REST API：旧版REST API提供的服务（），新版请升级至JavaScriptAPI。
Q：如何更换安全码与数字签名？
更改安全码：在我的控制台，在对应的key选择配置，如该key允许绑定安全码，则可以在此处进行配置。
更改数字签名：关闭数字签名后再重新开启，即可获得新的签名。
Q：如何使用数字签名？
1.从控制台中开通数字签名
2.点击申请数字签名的按钮后，获取用于生成签名的私钥（该签名与key对应，请注意保存，不要泄露）。
3.根据规则生成签名：
签名=MD5(请求参数（参数名的hash值升序排序）+（+号无需输入）私钥)；
例如：请求服务为testservice，请求参数分别为a=23，b=12，d=48，f=8，c=67；签名为bbbbb 则数字签名：sig=MD5(a=23&b=12&c=67&d=48&f=8bbbbb)
注：生成签名的内容，即MD5()当中的内容，必须为utf-8编码格式。
4.在请求中添加签名
将签名sig作为参数添加至请求参数中：参数名为sig，值为根据请求参数与私钥计算出的值。
Q：如何获取iOS Bundle identifier？
Xcode切换到Info下，查看Bundle identifier。黑色和灰色的文字都要复制下来喔。
Q：如何获取Android SHA1与Package？
获取应用包名
打开Android 应用工程的 AndroidManifest.xml配置文件，package 属性所对应的内容为应用包名。
获取 Sha1 值
开发模式（debug）和发布模式（release）下的 sha1 值是不同的，发布 apk时 需要根据发布apk对应的keystore重新配置Key，获取发布模式下的sha1的方法请参考。
下面介绍获取 Sha1 值的方法。
通过Eclipse获取SHA1:
使用 adt 22 以上版本，可以在 eclipse 中直接查看。
Windows：依次在 eclipse 中打开 Window -> Preferances -> Android -> Build。
Mac：依次在 eclipse 中打开 Eclipse/ADT->Preferances -> Android -> Build。
在弹出的 Build 对话框中 “SHA1 fingerprint” 中的值即为 Android 签名证书的 Sha1 值，如下图所示：
通过Android Studio获取SHA1：
第一步、打开Android Studio的Terminal工具
第二步、输入命令：keytool -v -list -keystore keystore文件路径
第三步、输入Keystore密码
使用 keytool（jdk自带工具）获取SHA1：
，按照如下步骤进行操作：
1.运行进入控制台。
2.在弹出的控制台窗口中输入 cd .android 定位到 .android 文件夹。
3.继续在控制台输入命令。
开发模式使用 debug.keystore，命令为：keytool -list -v -keystore debug.keystore
发布模式使用 apk 对应的 keystore，命令为：keytool -list -v -keystore apk的keystore
如下所示：
提示输入密钥库密码，开发模式默认密码是 android，发布模式的密码是为 apk 的 keystore 设置的密码。输入密钥后回车（如果没设置密码，可直接回车），此时可在控制台显示的信息中获取 Sha1 值，如下图所示：
说明：keystore 文件为 Android 签名证书文件。
Q：如何获取Windows Phone AppID？
在开发的project中，找到properties下的WMAppManifest.xml，双击如下图所示，选择Packaging 的Tab页面寻找productID，取出括号里面的值。
请选择您要反馈的类型
您尚未登录哟，请完全登录后，再来评价吧！
(C) 2002- 版权所有 | 京ICP证070711号如何设计API接口，请求接口时需要进行身份验证，防止第三方随意调用接口？
接口是放在公网中使用，不想随意被第三方使用。参考了OAuth2.0的简化模式（implicit grant type）设计了下面的方法。接口使用方法：1.接口调用者先申请分配一个clientid，clientsecret，并提供给接口提供者（服务器）一个可访问的callbackURL（用于接口access_token）。2.接口调用者使用clientid, clientsecret作为参数，向接口提供者发送请求。
接口提供者访问callbackURL发送access_token(有时间限制，超时后重新获取)。3.接口调用者使用access_token作为参数，调用其他接口获取相关信息。4.接口调用者在access_token超时后重新获取access_token。有个疑问：仅为了防止非法用户随意使用接口，需要这个复杂的机制吗？接口使用https连接，可以确保数据保密性。所以是否可以简化上面的流程，仅在接口服务者中配置一个 access_token， 接口使用者只需要提供正确的access_token即可正常使用其他接口。
按投票排序
这个很简单。1. 设定一个密钥比如key = ‘2323dsfadfewrasa3434'。 2. 这个key 只有发送方和接收方知道。3. 调用时，发送方，组合各个参数用密钥 key按照一定的规则(各种排序，MD5，ip等)生成一个access_key。一起post提交到API接口。4. 接收方拿到post过来的参数以及这个access_key。也和发送一样，用密钥key 对各个参数进行一样的规则(各种排序，MD5，ip等)也生成一个access_key2。5. 对比access_key 和access_key2 。一样。则允许操作，不一样，报错返回或者加入黑名单。
可以仅提供 access_token但是这种风险太大，此时它成了共享的密码只要泄漏了，就会造成巨大影响难以追查... 禁用的话也不合适，因为其他正常的客户端在用呢...所以就是要那么复杂的机制才行
可以拿rsa在客户端与服务端进行校验，但是实际过程中发现效率很低，加解密消耗略大，每次请求都要来，后来改成夹带时间戳和sha256一下token了，扔到header头或者query中即可，写成中间件，我用的是nodejs，别的语言应该也可以这么设计。反正就是你规定一个不好猜的机制来防止别人请求，做一个统一拦截器就好了。客户端app，正常都是rsa，但是一般公司不会做，当然，你可以一天校验几次，而不是每次都校验，做时效就好了，反正都是业务逻辑。这样就算不是https的，也不怕，最多在时效间隔内被冒充请求。至于网站本身的身份系统，我是这么处理的。自己业务的session就行了，反正做好统一的权限界定，在proxy层再做下用户id的校验，应该就没问题，比如a用户不能写入b用户的接口数据，当然a可以请求写入数据接口，但是在proxy层会被错误拒绝就ok了。选择 mongoose 的话可以在pre save中统一来做~
可以考虑rsa加密方式，公钥加密、私钥解密。
已有帐号？
社交帐号登录
无法登录？
社交帐号登录