API 接口可以不使用 https 吗?

2023-05-25 19:54:19 +08:00
 thinkm

API 请求和返回的内容都使用 AES 加密了,并非明文传输,这种情况下 API 接口可以不使用 https 吗? 目的是为了节省服务器性能

1406 次点击
所在节点    程序员
16 条回复
ayconanw
2023-05-25 19:56:01 +08:00
应该节省不了什么性能,另外 http 容易被运营商插广告等行为干扰
mohumohu
2023-05-25 19:58:54 +08:00
要是你自己实现一套 Forward Secrecy 的话我感觉性能不会比 https 低。
mohumohu
2023-05-25 19:59:09 +08:00
性能占用*
oldoddman
2023-05-25 20:02:20 +08:00
公司内网之间服务调用完全可以不用 https
coderxy
2023-05-25 20:03:06 +08:00
既然是 aes 加密了,那客户端肯定是有秘钥进行解密的。 只要别人破解了你的客户端代码。 不就可以进行中间人攻击了?
wunonglin
2023-05-25 20:06:45 +08:00
能节约多少性能?
ysc3839
2023-05-25 20:09:42 +08:00
看你怎么实现的,如果是通过 http 传密钥的话那不安全,把密钥写死在客户端会安全一点,但也不完全安全。
至于性能我估计省不了多少。
tomczhen
2023-05-25 20:10:13 +08:00
可以。不过对称加密密钥固定,建议再参考 HTTPS 实现一个密钥交换的过程。doge
SingeeKing
2023-05-25 20:12:01 +08:00
微信:我觉得可以
opengps
2023-05-25 20:27:37 +08:00
可以,但目的并非是节省那点性能
yinmin
2023-05-25 20:31:14 +08:00
可以的。微信用 http ,不是 https ,自己做的加密。
但是,AES 是对称加密,单用 AES 是不够的。需要 RSA+AES 或者 ECC+AES 。
BugCry
2023-05-25 20:46:31 +08:00
API 性能差不一定怪 HTTPS ,建议检查一下全链路 MTU 呢
狗头保命
thinkm
2023-05-25 20:57:12 +08:00
@coderxy 这是致命问题,还是老老实实用 https 吧
8520ccc
2023-05-25 20:58:44 +08:00
根本无法节省性能,最多只能节省协商密钥那一步的开销而已(这一步使用的是非对成加密)
dode
2023-05-25 21:06:58 +08:00
试试重放
letitbesqzr
2023-05-26 09:05:54 +08:00
可以,甚至可以学习微信的 mmtls 是如何做的。


基于 TLS1.3 的微信安全通信协议 mmtls 介绍

https://github.com/WeMobileDev/article/blob/master/%E5%9F%BA%E4%BA%8ETLS1.3%E7%9A%84%E5%BE%AE%E4%BF%A1%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E5%8D%8F%E8%AE%AEmmtls%E4%BB%8B%E7%BB%8D.md

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/942982

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX