各位好，今天我想要模仿类似 oauth 的功能，给予 a server key 跟 secret
a server 使用 key 跟 secret 演算出 key 以后跟 b server 要求事情
b server 验证无误后 response 一个 token 给 a server 当作这次的通行证
想问的是，如果 token 被撷取了，这样我不就可以拿这个 token 做你原本要做的事情吗
该怎么二次验证 token 的归属？

截断token就只剩半截，用剩半截的token怎么通过验证

我是指从网络截断啦 XD

那是“拦截”好吗！

防御中间窃听你需要https。不过https本身又是一串学问也因为这样，OAuth规范是要求走https的至于“拿尚方宝剑的人是不是开封府来的”，好像没辙?或许可以把 token 加密，但怎么加密才安全也是一门学问..

RSA?

请教一下，同网段可以透过封包拿到你的 post 内容吗

你走 https 就拿不到, 因为 TLS 是应用层的东西解析封包只会得到加密后的资料