验证token，或者服务端用OAuth2框架

你是如何定义合法和非法的？在SSO框架下，有token就是横着走，如果是第三方肯定需要appid和appsecret，需要授权的话还要带上AccessToken，这样也是横着走，最简单的是写一个IP拦截器，只允许信任IP通过，但是是用于内部互相调用的高级别拦截了，一般来说对方提供了token或appsecret，基本上都算是合法的吧？

我们用的RSA加密算法,请求数据的参数均转成json然后用服务器RSA证书对json进行加密,http请求就可以了,服务端私钥解密

使用oauth2或者类似的token之类的