这个涉及到两个方面问题:
一个是接口访问认证问题,主要解决谁可以使用接口(用户登录验证、来路验证)
一个是数据数据传输安全,主要解决接口数据被监听(HTTPS安全传输、敏感内容加密、数字签名)
普通网站应用一般使用session进行登录用户信息的存储和验证(有状态),而开放接口服务/REST则使用Token进行登录用户信息验证(无状态)。Token更像是一个精简版session。
参考: https://www.cnblogs.com/MuNet/p/6688396.html
https://www.cnblogs.com/sochishun/p/7000335.html
http://www.cnblogs.com/sochishun/p/7003190.html(解决高并非,优化性能)