1 、refresh token 有时效性，一般都是两小时失效；
2 、token 要用 app id 和 app secret 来换；
3 、token 应该要结合单个用户再获取一个认证，用这个认证给个用户做授权；
所以理论上 id secret token 这三个都在后台跑，token 在不同站点间交互可能会有泄露；用户认证授权有可能泄露但只对单个用户；  按你的描述我感觉你是不是少了一级，你是直接把 token 当公共参数丢给所有用户作为授权了

1 、refresh token 有时效性，一般都是两小时失效；
2 、token 要用 app id 和 app secret 来换；
3 、token 应该要结合单个用户再获取一个认证，用这个认证给个用户做授权；
所以理论上 id secret token 这三个都在后台跑，token 在不同站点间交互可能会有泄露；用户认证授权有可能泄露但只对单个用户；  按你的描述我感觉你是不是少了一级，你是直接把 token 当公共参数丢给所有用户作为授权了