2回答

Geely

2017-07-26

已采纳

token要过期时间的原因是，这次修改需要保证在一段时间内有效，过期就无效了。

因为token也可以被拦截~~再进一步的做法是使用token修改完之后，把token置成失效。

例如不加token，那么通过修改密码的接口 就可以随便改其他username的密码了。

那么加token，加了有效时间，起码在一段时间内，我保证自己的修改是有效且防止其他无效。

这在互联网上修改密码是一个很常用的做法，例如，忘记密码修改邮件里面给的链接，都会有一个提示，告诉你，这个修改密码的链接在10个小时之内有效，过期请重新获取该链接~

0

1

qq_怜惜娜娜_0

非常感谢！

2017-07-27

共1条回复

JL_BringItOn

2017-07-23

这个要结合“忘记密码重置密码”（即forget_reset_password.do）这个接口一起看。

如图：

在这里假如不传token，只要知道任何用户名，就可以将他对应的密码进行修改，所以要加上token

4

0