Eyon

@iyear
@Pastsong

为什么我看 V2EX 的请求头中没有 Authorization 这一行，看不到这一行是不是代表站长一定没有用 Authorization 这个参数来鉴权获取本帖的评论列表？

@iyear 我的意思不是抓包那么复杂。

而是，用户既然看得到这个 Authorization: Basic xxxxxxxx 这一串，可以直接在 Postman 中请求得到 json 格式的帖子列表，而用不着抓包，这个不是很尴尬吗？

@iyear 那么，你是不是可以非常非常非常非常轻松的获取到 V2EX 的帖子列表 JSON 数据？

@leo108 比如我服务器要求 token=abcdefg ，但是怎么让客户端知道我服务器要求 token=abcdefg ，让它能够用这个 abcdefg 来请求数据呢？

@huxins 那么，你是不是可以非常非常非常非常轻松的获取到 V2EX 的帖子列表 JSON 数据？

@huxins 比如，我做个图书网站，里面有 10000 本书。
在浏览器中，我用 get_books_list 这个请求，得到这 10000 本书的 array ，然后在浏览器中展现出来供用户浏览。

但是，用户也可以直接在 postman 中，用上他在浏览器中看到的 auth token ，直接在 postman 中请求 get_books_list 这个接口，得到我这 10000 本书的 json 数据，包括价格、图片、isbn 等等，这不是很尴尬吗？

难道，本来就是这样的？

@ryd994 通过限时限次，在网页中嵌入 token 的流程是一个什么样的流程呢？

我目前是想当然的认为：

所有的用户打开浏览器首页，都发送 auth:abcdefg ，服务器端判断确实有 auth:abcdefg 这个字段，就放行数据。也就是：

在 index.html 的 js 中写死‘abcdefg’这个 auth————————>服务器端接收，给数据。

当然，这个流程一定是不对的，应该是一个什么样的流程呢？

@ryd994 我不过是想挡住浏览器用户而已。也就是说用户请求我的页面，页面可以获取这一份数据。但是如果他拿到 postman 中，就不能获取我这个数据。

@cheneydog 关键是客户端的用户也有可能拿着我这个“abcdefg”去用 postman 请求啊，因为他浏览器能看到。

这个帖子没有讨论中间人攻击什么的。