API 请求和返回的内容都使用 AES 加密了,并非明文传输,这种情况下 API 接口可以不使用 https 吗? 目的是为了节省服务器性能
1
ayconanw 2023-05-25 19:56:01 +08:00 1
应该节省不了什么性能,另外 http 容易被运营商插广告等行为干扰
|
2
mohumohu 2023-05-25 19:58:54 +08:00
要是你自己实现一套 Forward Secrecy 的话我感觉性能不会比 https 低。
|
3
mohumohu 2023-05-25 19:59:09 +08:00
性能占用*
|
4
oldoddman 2023-05-25 20:02:20 +08:00 via iPhone
公司内网之间服务调用完全可以不用 https
|
5
coderxy 2023-05-25 20:03:06 +08:00
既然是 aes 加密了,那客户端肯定是有秘钥进行解密的。 只要别人破解了你的客户端代码。 不就可以进行中间人攻击了?
|
6
wunonglin 2023-05-25 20:06:45 +08:00
能节约多少性能?
|
7
ysc3839 2023-05-25 20:09:42 +08:00 via Android
看你怎么实现的,如果是通过 http 传密钥的话那不安全,把密钥写死在客户端会安全一点,但也不完全安全。
至于性能我估计省不了多少。 |
8
tomczhen 2023-05-25 20:10:13 +08:00 via Android
可以。不过对称加密密钥固定,建议再参考 HTTPS 实现一个密钥交换的过程。doge
|
9
SingeeKing 2023-05-25 20:12:01 +08:00 via iPhone
微信:我觉得可以
|
10
opengps 2023-05-25 20:27:37 +08:00 via Android
可以,但目的并非是节省那点性能
|
11
yinmin 2023-05-25 20:31:14 +08:00
可以的。微信用 http ,不是 https ,自己做的加密。
但是,AES 是对称加密,单用 AES 是不够的。需要 RSA+AES 或者 ECC+AES 。 |
12
BugCry 2023-05-25 20:46:31 +08:00 via Android
API 性能差不一定怪 HTTPS ,建议检查一下全链路 MTU 呢
狗头保命 |
14
8520ccc 2023-05-25 20:58:44 +08:00 via iPhone
根本无法节省性能,最多只能节省协商密钥那一步的开销而已(这一步使用的是非对成加密)
|
15
dode 2023-05-25 21:06:58 +08:00
试试重放
|
16
letitbesqzr 2023-05-26 09:05:54 +08:00
可以,甚至可以学习微信的 mmtls 是如何做的。
基于 TLS1.3 的微信安全通信协议 mmtls 介绍 https://github.com/WeMobileDev/article/blob/master/%E5%9F%BA%E4%BA%8ETLS1.3%E7%9A%84%E5%BE%AE%E4%BF%A1%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E5%8D%8F%E8%AE%AEmmtls%E4%BB%8B%E7%BB%8D.md |