在使用API时,通常不需要身份验证令牌,就像您为Android应用程序所做的那样;这是因为身份验证令牌是生成的,用于保护跨站请求伪造攻击,只有在会话中才可能发生...并且通常如果您正在访问API,则不使用(或无法使用)会话。因此,在此处生成身份验证令牌时,我不会太担心。为了保护您的POST或任何请求,您有许多选项可供选择。最简单的方法是使用HTTP基本身份验证对每个请求进行身份验证,更复杂但可能更安全的方法是实施OAuth。无论哪种方式都将为使用您的应用程序并连接到您的网站的人提供一些安全性。