我在一个WebAPP项目中遇到了题主的这個问题由于API是为APP准备的，因此在WebAPP中使用ajax和api进行交互也不得不按照app与api交互时的使用习惯

在向api发出请求的时候，可能有两种情况一种是鼡户登录，一种是未登录无论哪一种情况，都可以采用下面的这种思路但在使用token时使用不同的token即可。登录用户使用登录时服务端生成嘚带nonce的token是唯一的，而未登录用户app在请求时携带的是一个服务端和客户端约定好的token（尽可能保密）。

在api设计时尽可能的遵循restful风格，因此在提交的信息中，用于鉴权的token被放在header中token鉴权是设计我是这样的思路：

1. app登录，服务端创建token（token为经过加密后的字符串可被解密，解密後的数据中包含登录的用户信息或非用户登录状态下的约定好的token）并且将app与server端的时间差一并保存在redis中，并将token返回给appapp将其保存在本地，利用html5的localStorage可以轻松做到

2. app在请求api接口时传入一个access_token，该access_token由token和时间戳运算后获得从而保证了每一次发送的access_token是不同的，这个access_token的有效期为很短的一段时间只要保证在网速比较渣的情况下有效即可

3. 服务端在接收到这个access_token后，经过解密从redis中取出对应的token所提供的数据，对时间差进行比较超出一定时间的，认为无效并获得该token对应的user_id或者判断token是否为约定值。

当然这里加密解密会牺牲掉一些性能，这也只是我的一种思路