在API的世界裡，Token就像一張「數位通行證」，代表使用者的身份或權限，讓伺服器快速辨認來者是否合法。

當使用者發送API請求時，Token會附在請求中送到伺服器，伺服器透過它來判斷：

• 這個人是誰？
• 是否有資格存取這個資源？
• 能夠執行哪些操作？

這樣的設計帶來幾個好處：

1. 身份驗證更方便：
   不必每次都輸入帳號密碼，帶著Token就能直接證明已經登入過。

2. 權限控制更清楚：
   不同角色會拿到不同權限的Token，一般用戶的Token只能查詢自己的訂單，而管理員的Token能檢視所有訂單，甚至進行修改或刪除。

3. 安全性更高：
   Token可以設定時效，過期就會失效，即使被竊取，也無法長期濫用，減少風險。

常見的Token技術有：

• JWT（JSON Web Token）：這是一種自包含的Token，裡面能攜帶使用者資訊與權限，伺服器收到後，可以直接解讀，不必再去資料庫查詢，因此驗證速度快。

• OAuth Token：常用在第三方授權。例如，用Google帳號登入其他網站時，網站並不會拿到你的密碼，而是透過 Google發給的授權Token來確認身份，這樣安全又方便。

Token讓API的使用更像一個「門票制度」，只要持有正確且有效的票，就能順利進入並完成操作；若沒有票或票過期，系統就會拒絕。API在兼顧便利性的同時，也能確保安全性，是現代網路應用中不可或缺的重要技術。