嘿，这个问题戳中了Token认证里很容易踩的坑——光验证Token有效还远远不够，得把Token和用户身份、资源权限牢牢绑定才行！我给你梳理几个落地的方案，一步步堵上这个跨用户访问的漏洞：

别用简单的随机字符串当Token，改用**JWT（JSON Web Token）**是个靠谱的选择。把用户ID、角色这类核心身份信息加密存在JWT的Payload里，服务端收到Token后先验证签名（确保没被篡改），再直接从Payload里取出用户ID，这样就能明确当前请求所属的用户。

举个jQuery调用的小例子，前端拿到JWT后，请求头里这么带：

$.ajax({
  url: '/api/users/profile',
  headers: {
    'Authorization': 'Bearer ' + yourJwtToken
  },
  success: function(data) { /* 处理返回数据 */ }
});

如果还是要把Token存在Session里，记得要确保Session中存储的用户ID和JWT解析出的用户ID完全一致，双重校验更稳妥。

不管Token多安全，每次处理API请求时，都必须加这一步校验：

当前Token对应的用户ID，是否和请求要访问的资源所属用户ID一致？（或者用户有对应的权限，比如管理员）

比如用户请求/api/users/123/orders，服务端要先从Token里拿到当前用户ID，再对比路径里的123：如果不是同一个ID，也不是管理员角色，直接返回403禁止访问。

给你一段伪代码参考：

// 从Token解析出当前用户ID
String currentUserId = parseToken(request.getHeader("Authorization")).getUserId();
// 从请求路径/参数中获取要访问的资源所属用户ID
String targetUserId = request.getPathVariable("userId");

// 校验：要么是自己的资源，要么是管理员
if (!currentUserId.equals(targetUserId) && !userService.isAdmin(currentUserId)) {
    return ResponseEntity.status(HttpStatus.FORBIDDEN).body("无访问权限");
}

既然你已经把Token存在Session里，可以在Session中额外存储客户端标识（比如User-Agent的哈希值、IP的模糊哈希）。每次请求时，除了验证Token是否存在于Session，还要验证当前请求的客户端标识和Session里的一致，同时检查Session中的用户ID和资源归属是否匹配。

这样就算Token被泄露，攻击者的客户端信息（比如浏览器、IP）和原用户不一致，也无法通过校验。

给不同用户分配不同角色（普通用户、管理员、客服等），每个API接口配置对应的角色权限。比如：

• 普通用户：只能访问自己的个人信息、订单
• 管理员：可以访问所有用户的资源
• 客服：只能查看用户的工单信息

服务端处理请求时，除了校验用户身份，还要校验当前用户的角色是否有访问该接口的权限，进一步缩小风险范围。

• 缩短Access Token的有效期，比如设置成15-30分钟，过期后强制用户重新登录。同时实现Refresh Token机制，用有效期更长的Refresh Token来获取新的Access Token，就算Token泄露，可用时间也很短。
• 提供主动失效接口，用户点击退出时，立即销毁Session里的Token和对应的用户信息，让泄露的Token直接失效。

• 不要把Token存在LocalStorage（容易被XSS窃取），如果用请求头传递，一定要确保请求是HTTPS的，防止Token被中间人劫持。
• jQuery请求时，别在控制台打印Token，开发阶段也要注意不要泄露。
• 给敏感接口加前端拦截，比如用户要访问别人的资源时，先做一层判断，虽然不能彻底防住，但能减少误操作和恶意试探。

这些方案组合起来，就能从根本上解决跨用户访问的问题——核心就是让每个请求都能明确「是谁在请求」「请求的资源是不是他有权访问的」，双重校验下来，想绕过就难多了！

内容的提问来源于stack exchange，提问作者Shivam Singh