自己的小程序 Java 服务端 api 怎么做鉴权访问?发红包活动被黑客搞了,api 直接被黑客调用了

JWT 啊，登录后给客户端一个 tokan，访问接口之前验证 token，通过才返回数据，不通过就拦截。

@onice wx.login 时获取了自己服务器的 jwt 的 token, 设置超时为 4 个小时, 偶尔会出现客户的 token 超时的情况, 这个要怎么防止呢?

@gancl 判断超时不是由后端来做的么？客户端只负责存储 token，并在请求接口的时候携带 token。我的做法是把 token 放到 redis 里面，例如用户名唯一的情况下，可以以用户名作为 redis 的 key，value 就放 token，客户端访问登陆接口的时候，如果验证通过，就生成一条 token 放入 redis，并设置超时时间。然后配置权限拦截器，每次请求接口经过拦截器，拦截器就从 redis 取出 token，和接口请求携带的 token 做比较，一致就通过，不一致就不通过。如果 redis 的 token 不存在，则说明 token 过期了，提示用户重新登录。