Он и идет по https =) Но, блин, мало-ли)
Естть такая идея. Можно сгенерить публичный и приватный ключи для пользователя. Приватный ключ и токен с инфой (зашифрованный публичным ключом) положить в таблицу с сессиями пользователя. При отправке запроса с этим токеном рассшифровывать его и смотреть в теле уже кому он принадлежит user_id, IP, expires и тд
Обсуждают сегодня