淘宝的 rest API 为什么还继续用 http,不用 https?

2018-03-24 07:31:38 +08:00
 iConnect
像这样的 API 都是 sdk 走 http,为什么还不起用 https ?
http://gw.api.taobao.com/router/rest
6896 次点击
所在节点    程序员
20 条回复
wongnet
2018-03-24 08:43:28 +08:00
http 够用了为什么一定要用 https,API 本身自带 token,https 无非防止抓包截获,而一般人都不会去主动截获这种东西.
fzleee
2018-03-24 08:59:34 +08:00
@wongnet 这个回复好没有道理,https 一般有两重保障,一个是保证数据的隐秘,不被第三方读取,一个是保证数据的完整不被篡改,二者都很重要。
honeycomb
2018-03-24 09:08:52 +08:00
@wongnet 淘宝全站 HTTPS 了那么供第三方用的 API 没有道理不用 TLS
moult
2018-03-24 09:12:54 +08:00
@wongnet https 既保证了请求的防篡改,也保证了响应内容的防篡改。app key 只能保证请求的防篡改,响应内容上,完全可以被劫持篡改。

你要想想看,支付宝的接口,非但 https 通信,而且请求和响应都需要公私钥验签,不可能多此一举的。
wongnet
2018-03-24 09:17:28 +08:00
@fzleee 所以呢?所以你就会唯加密论,就算不用 https 协议,在涉及到非核心业务的时候就必须要使用 https ?这几年有免费证书的方案出来用 https 的人多了起来,你是怕重传还是怕篡改? api 设计成幂等性,防篡改可以使用混合时间戳的加密随机字符串验证身份,还怕加密算法是 js 的被解密了?那怎么不说 https 伪造证书照样可以截获明文.
如果问我为什么不设计成 https,我就告诉你 http 简单,不想用 https 你管的着吗?
murmur
2018-03-24 09:29:42 +08:00
淘宝就算不用 https 他的接口也够你爽一套的
这么大规模的应用我猜真的是有性能体验问题
TestSmirk
2018-03-24 09:52:50 +08:00
做兼容吧,还有少数设备不支持 ssl 证书的呢
majinjing3
2018-03-24 09:54:25 +08:00
@wongnet https 里内嵌 http 资源,基本上 https 就废了,和 http 一样,懂了不,不是核心不核心的问题,如果还不懂,请自行谷歌
Discuss
2018-03-24 09:56:24 +08:00
宽带运营商大都国企背景,一般也就劫持一些新闻网站弹广告赚钱,有能力劫持 /篡改 API 请求的,但这犯法又无利,没动机去干;鸡贼小公司入侵宽带就不容易页犯法,有动机没能力也没法干。就像 http ://www.gov.cn/ 一直 http,谁会去劫持呢,所以综合看起来,http 的效率确实比 https 高,就继续用了
winterbells
2018-03-24 10:11:43 +08:00
@Discuss 政府网站也劫持过,后来加白名单了应该
scnace
2018-03-24 10:46:16 +08:00
@Discuss 有些政府站照样劫持贴广告啊 hhh
gen900
2018-03-24 13:41:09 +08:00
因为淘宝并不完美啊。
honeycomb
2018-03-24 13:58:39 +08:00
@wongnet 你转移话题了。
这个主题在评价某个 API 使用明文 HTTP,您呢则去贬低它人来试图谬误地显示你的正确。
MeteorCat
2018-03-24 14:35:05 +08:00
https 比 http 多了证书加密验证过程,可能淘宝也有他的性能效率的考量,毕竟淘宝日接口请求量已经是个庞然大物了,再小的效率问题在淘宝那种大体量上面都会被无线放大吧
salmon5
2018-03-24 14:56:33 +08:00
这显然不是一个性能问题,而是上 https
1,谁买证书? gw.api.taobao.com 或者*.api.taobao.com
2,谁来上线证书?
没有人推动这个没 kpi 的事情,这么简单的问题被你们整这么复杂
yingfengi
2018-03-24 15:17:56 +08:00
https 是需要消耗服务器器性能的,现在有个东西叫 ssl 卸载
wongnet
2018-03-24 15:23:11 +08:00
@honeycomb
谬误地显示我的正确?我只是从技术角度去分析,何时带有个人情感主义?
wongnet
2018-03-24 15:27:47 +08:00
@majinjing3
我想要表达的是并不存在 HTTPS 就一定要得到广泛使用,也要分技术场合来选择,HTTPS 并不是银弹,没有必要用就不用罢了。
而你所述,和我说的内容有什么关系?烦请赐教。
jjx
2018-03-24 16:05:04 +08:00
lz 难道不知道

1.淘宝要求 isv 将涉及淘宝调用的服务器必须部署到聚石塔并且入御城河
2. 从去年开始, 对重要数据传输时已经加密而且必须通过 https://eco.taobao.com/router/rest 调用, 看清楚了
hoyixi
2018-03-25 06:25:53 +08:00
说白了,没被艹 过,被艹 过一次,不睡觉加班猝死也得改成 HTTPS

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/440937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX