各位好，今天我想要模仿類似 oauth 的功能，給予 a server key 跟 secret
a server 使用 key 跟 secret 演算出 key 以後跟 b server 要求事情
b server 驗證無誤後 response 一個 token 給 a server 當作這次的通行證
想問的是，如果 token 被擷取了，這樣我不就可以拿這個 token 做你原本要做的事情嗎
該怎麼二次驗證 token 的歸屬？

截斷token就只剩半截，用剩半截的token怎麼通過驗證

我是指從網路截斷啦 XD

那是「攔截」好嗎！

防禦中間竊聽你需要https。不過https本身又是一串學問也因為這樣，OAuth規範是要求走https的至於「拿尚方寶劍的人是不是開封府來的」，好像沒轍?或許可以把 token 加密，但怎麼加密才安全也是一門學問..

RSA?

請教一下，同網段可以透過封包拿到你的 post 內容嗎

你走 https 就拿不到, 因為 TLS 是應用層的東西解析封包只會得到加密後的資料