使用 https 后，还有必要用 md5(secret+参数+时间戳)类似这样的方法做数据完整校验吗？

https 防止不了伪造和重放，这两点理由都足够了

有必要，例如
1、防重放
2、还有纠正一点，加密的代码就算都在客户端不等于门槛就不高，很多这些大厂的客户端加固混淆强度也是不弱的，至少不是说一个初级的黑客抓一下包就知道原始数据了。自然是不存在绝对安全，但可以为黑客制造一些难度啊

@zjp @FanWall 多谢两位的回答。有点疑惑的是，你们说的重放是指中间监听密文重放吗？我记得 ssl 的密文是有序号的，不知道能不能防止这种重放。可能我理解的有偏差。

@zjp 如果有证书校验的话是可以做到防止伪造的

@yumumu 安卓端没看到几个软件校验证书的，随便抓包…我也很奇怪为什么不校验

@zjp 好像搞错了什么…我想说的伪造和重放都是 Http 层的啊，和证书、SSL 都没有关系

都进内网了啥事干不成？

@yumumu #4
@zjp #5
证书校验的应用很多，只能说可以防止简单的中间人，但一样可以伪造，只能说增加难度，不能说完全防止。

@dawniii #3
这里的重放我不是指 TCP 层面的重放，而是 HTTP 协议层面的重放，其实可以和伪造放一起看待，我是这么理解的，专业的见解等楼下。

@dawniii TLS 握手的时候攻击，可以重放。http://blog.valverde.me/2015/12/07/bad-life-advice/

@dawniii

防止重放 一般 md5(secret+参数+时间戳) & 时间戳

@dawniii 客户端因为这样那样（比如恶意调用，bug ）的重放。

比如在 v2 发帖，客户端没收到确认发帖成功回复，这个时候用户又点了几次发帖键，发出了几个相同的请求，如果有参数签名无论如何最多只会有其中一个有效，就不容易出现一个帖子发了两遍的问题。

上 https 可以过滤掉百分之九十只会抓明文包的
做个数据校验又可以过滤掉百分之九十不会本地逆向的

安全措施这种东西，在成本允许范围内，从来都是只会嫌少 不会嫌多的

回去看抓包的...现在还有不会抓 https 包的吗？

@chengxiao 设备本地上 hpkp，啥抓包都玩完

HTTPS 可以保护免受重放攻击，因为 TLS 不是纯粹的加密，中间人拿到密文后并不能直接发送给服务器，必须握手，而握手后

HTTPS 可以保护免受重放攻击，因为 TLS 不是纯粹的加密，中间人拿到密文后并不能直接发送给服务器，必须握手，而握手后密钥是新的，所以并不能用之前的密文。

所以中间人是根本没有机会实施重放攻击。

secret 一般不是鉴权用的吗…… https 的防止伪造只是对于中间人来说的吧，恶意用户主动伪造 https 是没法阻止的。

TLS"只"保证传输层的 保密 防篡改 防冒充。名字都起得相当好，Transport Layer Secure。
对 LZ 的问题，人家不保证，你需要的是防止业务请求重放和鉴权。
md5 这个就已经是个漏洞了，自欺欺人而已。

p.s. 说能抓 https 包的，你们怕不是对 TLS 有什么误解吧？
你们都能物理接触或者有控制权的情况下，任何安全措施都是白搭。
说中间人的，你们试试双向证书校验的环境下抓抓包？

数据完整性校验 AEDA 了解一下？防重放的话 DH/ECDH 或者 RSA 每次服务端随机密钥。防中间人劫持可以通过只信任你自己的 CA 实现。

所以最简单的方法就是 https 配成密钥协商 ecdh+证书认证 ecdsa+加密算法 aes-128/192/256-gcm 或者 chacha20-poly1305。然后客户端设置成只信任自己的 CA。

完事儿。

首先看你这个接口是否公开的，如果是公开的，任何浏览器都可以访问，那不存在加密一说(大家都能看)，当然如果这个接口带有一些敏感信息，应该加密，如果是想让别人抓不了这个接口，那双向认证了解一下