多谢指点

我原本也是想每个api请求都验证token 然后把token替换成新的 不过细想之后发现如果用户并发请求的话就会出bug了 所以只好在用户每次login时生成一个token一直用 但是每次api请求会换了一个随机密码加密 以便让token看起来每次都不一样 防止破解其中的过期时间

但是后来还是把过期时间保存在server端了

【 在 cnxs 的大作中提到: 】
: 我们处理方式是用户每次api请求都return一个cors token，所以我们每次都verify cors token是不是来自真实用户的请求
: 然后我们cookie就存用户id
: 每次api请求首先verify cors token是不是有效请求，然后check用户id是不是有效id，都通过了，你就可以处理api request了，当然这些东西都是加密过的
: ...................
--
FROM 110.23.10.*