1
wongnet 2018-03-24 08:43:28 +08:00 via Android
http 够用了为什么一定要用 https,API 本身自带 token,https 无非防止抓包截获,而一般人都不会去主动截获这种东西.
|
2
fzleee 2018-03-24 08:59:34 +08:00 via iPhone
@wongnet 这个回复好没有道理,https 一般有两重保障,一个是保证数据的隐秘,不被第三方读取,一个是保证数据的完整不被篡改,二者都很重要。
|
4
moult 2018-03-24 09:12:54 +08:00 via iPhone
@wongnet https 既保证了请求的防篡改,也保证了响应内容的防篡改。app key 只能保证请求的防篡改,响应内容上,完全可以被劫持篡改。
你要想想看,支付宝的接口,非但 https 通信,而且请求和响应都需要公私钥验签,不可能多此一举的。 |
5
wongnet 2018-03-24 09:17:28 +08:00 via Android
@fzleee 所以呢?所以你就会唯加密论,就算不用 https 协议,在涉及到非核心业务的时候就必须要使用 https ?这几年有免费证书的方案出来用 https 的人多了起来,你是怕重传还是怕篡改? api 设计成幂等性,防篡改可以使用混合时间戳的加密随机字符串验证身份,还怕加密算法是 js 的被解密了?那怎么不说 https 伪造证书照样可以截获明文.
如果问我为什么不设计成 https,我就告诉你 http 简单,不想用 https 你管的着吗? |
6
murmur 2018-03-24 09:29:42 +08:00
淘宝就算不用 https 他的接口也够你爽一套的
这么大规模的应用我猜真的是有性能体验问题 |
7
TestSmirk 2018-03-24 09:52:50 +08:00 via Android
做兼容吧,还有少数设备不支持 ssl 证书的呢
|
8
majinjing3 2018-03-24 09:54:25 +08:00 via Android
@wongnet https 里内嵌 http 资源,基本上 https 就废了,和 http 一样,懂了不,不是核心不核心的问题,如果还不懂,请自行谷歌
|
9
Discuss 2018-03-24 09:56:24 +08:00
宽带运营商大都国企背景,一般也就劫持一些新闻网站弹广告赚钱,有能力劫持 /篡改 API 请求的,但这犯法又无利,没动机去干;鸡贼小公司入侵宽带就不容易页犯法,有动机没能力也没法干。就像 http ://www.gov.cn/ 一直 http,谁会去劫持呢,所以综合看起来,http 的效率确实比 https 高,就继续用了
|
10
winterbells 2018-03-24 10:11:43 +08:00 via Android
@Discuss 政府网站也劫持过,后来加白名单了应该
|
12
gen900 2018-03-24 13:41:09 +08:00 via iPhone
因为淘宝并不完美啊。
|
13
honeycomb 2018-03-24 13:58:39 +08:00 via Android
@wongnet 你转移话题了。
这个主题在评价某个 API 使用明文 HTTP,您呢则去贬低它人来试图谬误地显示你的正确。 |
14
MeteorCat 2018-03-24 14:35:05 +08:00 via Android
https 比 http 多了证书加密验证过程,可能淘宝也有他的性能效率的考量,毕竟淘宝日接口请求量已经是个庞然大物了,再小的效率问题在淘宝那种大体量上面都会被无线放大吧
|
15
salmon5 2018-03-24 14:56:33 +08:00 1
这显然不是一个性能问题,而是上 https
1,谁买证书? gw.api.taobao.com 或者*.api.taobao.com 2,谁来上线证书? 没有人推动这个没 kpi 的事情,这么简单的问题被你们整这么复杂 |
16
yingfengi 2018-03-24 15:17:56 +08:00
https 是需要消耗服务器器性能的,现在有个东西叫 ssl 卸载
|
18
wongnet 2018-03-24 15:27:47 +08:00 1
|
19
jjx 2018-03-24 16:05:04 +08:00 1
lz 难道不知道
1.淘宝要求 isv 将涉及淘宝调用的服务器必须部署到聚石塔并且入御城河 2. 从去年开始, 对重要数据传输时已经加密而且必须通过 https://eco.taobao.com/router/rest 调用, 看清楚了 |
20
hoyixi 2018-03-25 06:25:53 +08:00
说白了,没被艹 过,被艹 过一次,不睡觉加班猝死也得改成 HTTPS
|