第三方调用肯定不用API，直接用token访问就行了。如果是网站访问呢，是否也生成token，每次校验token，不用session，反正session也要丢到数据库里。

现在没有用oauth的那种复杂的方法，因为没有找到靠谱的第三方oauth provider for node.js。我就直接让用户登陆，然后生成一个token，以后就用这个token访问，反正调用api的程序是自家的。大家觉得这种方式安全不，求rest api专家。