目前接口是这样的:在用户登录之后随机生成一个token 将token的值作为Redis缓存的key缓存的值就是用户的信息 包括用户id,用户昵称 用户头像等;接口访问和鉴权用户在访问接口的时候会在header中携带token过去 在前置操作中检测token是否存在 并且是否有效 如果无效返回http code 401如果有效 将token的过期时间增加 将用户id注入到请求对象里面的uid服务类service\Token该类提供对token的操作 比如过期时间的增加 根据token获取uid等疑问之后再网上看到说这样很不安全 需要有签名和签名算法请问一下大家这个签名该如何设计以及使用??? 万分感谢最后问下 我上面这种接口设计的方式是否合理? 因为是自学 所以没太多的人指教 所以有点懵