在使用API认证时，使用安全令牌（Token）是一种常见且安全的实践方法。以下是使用安全令牌进行API认证的最佳实践，包括Node.js服务器和移动应用的代码示例。

1. 生成安全令牌： 在服务器端生成一个安全令牌，并将其存储在数据库中。当用户登录成功后，将令牌分配给用户，并将其返回给客户端。

const crypto = require('crypto');

function generateToken() {
  return crypto.randomBytes(32).toString('hex');
}

// 生成并分配令牌给用户
const token = generateToken();
// 存储令牌到数据库中
storeTokenToDatabase(userId, token);
// 将令牌发送给客户端
res.json({ token });

2. 验证安全令牌： 在每个API请求中，客户端需要将令牌作为请求头的Authorization字段发送给服务器。服务器会验证令牌的有效性，并根据需要执行相应的操作。

// 从请求头中获取令牌
const token = req.headers.authorization;

// 在数据库中验证令牌
const isValidToken = validateTokenFromDatabase(userId, token);

if (isValidToken) {
  // 令牌有效，执行相应操作
  next();
} else {
  // 令牌无效，返回错误响应
  res.status(401).json({ error: 'Invalid token' });
}

3. 刷新安全令牌： 为了保持安全性，当令牌过期或需要刷新时，客户端需要发送刷新令牌（Refresh Token）给服务器。服务器验证刷新令牌的有效性，并生成新的访问令牌（Access Token）返回给客户端。

// 从请求头中获取刷新令牌
const refreshToken = req.headers.authorization;

// 在数据库中验证刷新令牌
const isValidRefreshToken = validateRefreshTokenFromDatabase(userId, refreshToken);

if (isValidRefreshToken) {
  // 刷新令牌有效，生成新的访问令牌
  const newToken = generateToken();
  // 更新数据库中的令牌
  updateTokenInDatabase(userId, newToken);
  // 返回新的访问令牌给客户端
  res.json({ token: newToken });
} else {
  // 刷新令牌无效，返回错误响应
  res.status(401).json({ error: 'Invalid refresh token' });
}

使用安全令牌进行API认证是一种可靠且安全的方法，它允许服务器验证客户端的身份并确保只有经过身份验证的用户能够访问受保护的资源。