我理解他的需求了，他说的不是安全校验权限问题。

他的意思是如何避免第三方客户端。例如有人或组织对原客户端不满意，开了一个项目，做了一个第三方客户端，已知账户密码，如何防止第三方客户端访问资源。

例如，我对zh移动端APP不满意，通过逆向工程，获取了其API接口协议，编写了第三方客户端，拦截了广告投发，对其造成损失，该zh该如何避免。

【 在 Donlleir 的大作中提到: 】
: 你不给用postman的人账号就行了。
: 如果他有账号，那么就限制这个账号的数据权限，换句话就是接口权限，靠后端控制。
: 再其次，如果他有账号，只让他通过既定的web前端访问对其授权的数据接口，而不能用类似postman的方式访问，那么就是反爬虫那一套手段。
: ...................
--
FROM 118.81.85.*