客户端带个约好的 Header 表明自己的身份就可以了，不需要下命令说“我要验证！”是否要验证或其他逻辑的区别交给后端操心。另外就算说要验证也没有什么不安全的。

@billy 目前就是这样做的，比较担心的就是别人更改 header 中的 value 去跳过验证

#2 楼 @jasonliu 肯定会啊。移动端可以跳过某些验证的依据是什么？

@rei 因为人手原因，移动端没有足够资源来与后端对接接口，导致 web 端开发完成要上线，但是移动端又跟不上，所以才要做区分

用 https，客户端登录时给一个随机的 header value 而不是固定的

客户端的 UserAgent 加上特定字符串，后端来判断是 App 还是 Web 就好了。

无论你用什么办法区分，别人都可以用类似的方法来绕过，不建议给移动端留一个不验证的口子，太不安全了。 任何一扇开着的门，都会导致其他的门形同虚设。

手机是完全可以模拟的。

安全的本质基于信任，“来自手机的请求”这种并不可靠。

虽然，即使是 BAT 也会出现这种利用移动端接口来绕过验证的安全缺陷 毕竟业务需求第一