token每次都变吧？
Server端存token在redis上吗？如果是的话感觉应该先校验用户id啊，多谢

【 在 cnxs 的大作中提到: 】
: 我们处理方式是用户每次api请求都return一个CSRF token，所以我们每次都verify CSRF token是不是来自真实用户的请求
: 然后我们cookie就存用户id
: 每次api请求首先verify CSRF token是不是有效请求，然后check用户id是不是有效id，都通过了，你就可以处理api request了，当然这些东西都是加密过的
: ...................
--
FROM 124.126.144.*