API 接口可以不使用 https 吗?

338 天前
 thinkm

API 请求和返回的内容都使用 AES 加密了,并非明文传输,这种情况下 API 接口可以不使用 https 吗? 目的是为了节省服务器性能

1164 次点击
所在节点    程序员
16 条回复
ayconanw
338 天前
应该节省不了什么性能,另外 http 容易被运营商插广告等行为干扰
mohumohu
338 天前
要是你自己实现一套 Forward Secrecy 的话我感觉性能不会比 https 低。
mohumohu
338 天前
性能占用*
oldoddman
338 天前
公司内网之间服务调用完全可以不用 https
coderxy
338 天前
既然是 aes 加密了,那客户端肯定是有秘钥进行解密的。 只要别人破解了你的客户端代码。 不就可以进行中间人攻击了?
wunonglin
338 天前
能节约多少性能?
ysc3839
338 天前
看你怎么实现的,如果是通过 http 传密钥的话那不安全,把密钥写死在客户端会安全一点,但也不完全安全。
至于性能我估计省不了多少。
tomczhen
338 天前
可以。不过对称加密密钥固定,建议再参考 HTTPS 实现一个密钥交换的过程。doge
SingeeKing
338 天前
微信:我觉得可以
opengps
338 天前
可以,但目的并非是节省那点性能
yinmin
338 天前
可以的。微信用 http ,不是 https ,自己做的加密。
但是,AES 是对称加密,单用 AES 是不够的。需要 RSA+AES 或者 ECC+AES 。
BugCry
338 天前
API 性能差不一定怪 HTTPS ,建议检查一下全链路 MTU 呢
狗头保命
thinkm
338 天前
@coderxy 这是致命问题,还是老老实实用 https 吧
8520ccc
338 天前
根本无法节省性能,最多只能节省协商密钥那一步的开销而已(这一步使用的是非对成加密)
dode
338 天前
试试重放
letitbesqzr
338 天前
可以,甚至可以学习微信的 mmtls 是如何做的。


基于 TLS1.3 的微信安全通信协议 mmtls 介绍

https://github.com/WeMobileDev/article/blob/master/%E5%9F%BA%E4%BA%8ETLS1.3%E7%9A%84%E5%BE%AE%E4%BF%A1%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E5%8D%8F%E8%AE%AEmmtls%E4%BB%8B%E7%BB%8D.md

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/942982

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX