V2EX › dzdh 的所有回复 › 第 72 页 / 共 88 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 68 69 70 71 72 73 74 75 76 77 ... 88

❮

❯

2021-04-13 21:36:28 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome #115

1. 抛弃『客户端证书』，`curl -u $ukey ..` 的 $ukey 也是『严格保密』的
2. SSLPinning
3. SSLPinning 被攻破代表着已经控制了物理设备，控制了物理设备可以直接读取所谓的『 KEY 』

2021-04-13 21:27:40 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@dzdh #111

抛弃『客户端证书』，`curl -u $ukey ..` 的 $ukey 也是『严格保密』的

2021-04-13 21:26:00 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@hxndg 然而发现自己都说服不了自己，反而越来越认为这样是『对的』，签名模式并没有存在的必要。

2021-04-13 21:25:16 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@hxndg

因为最近的业务设计思来想去决定仿照 Stripe 的接口风格，想集思广益证明『单纯的 https 』不安全。

2021-04-13 21:24:21 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome

同样的『客户端证书』也是严格保密的，外人肯定不会知道

2021-04-13 20:10:24 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome 107

如果一个密码公开发放，那的确没有必要性。

2021-04-13 20:04:38 +08:00

回复了 FutureApple 创建的主题 › NGINX › 如何实现后端服务器-----反代服务器-------CDN 这三层后后端服务器还能获取源站 ip 的架构？

nginx proxy_protocol

2021-04-13 20:03:08 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome 102

所以，『纯技术』上，在有 HTTPS 保护的前提下，签名没有『必要性』

2021-04-13 20:01:42 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@sekfung 101

对于#88 楼的回复见 #96 楼

SSLPinning 被攻破，仅仅是单个客户端的安全（而且绝大多数情况下是自己搞得）。
而『签名』的密钥通过 HOOK 方法一样也能轻松拿到，而且拿到签名密钥是不是意味着所有的客户端都不安全？

2021-04-13 19:59:06 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@catchexception 100

对的。『签名机制』的目的是为了防止在『传输时』被篡改（被截获倒不可怕）。

且我认为就只有这一项作用了，而 HTTPS 的存在就足以保障『无限接近 100%』的传输安全，因此有此一问，为何当下大厂在『有 HTTPS 的前提下还要有签名机制辅助』

2021-04-13 19:09:16 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@timedivision

所以是，仅仅 HTTPS 已经足够安全，所谓签名只是锦上添花？

2021-04-13 19:06:00 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome 91

如果有签名的时候被黑了呢，接口 bug 了呢这不是一样吗

2021-04-13 19:00:08 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@3dwelcome 90

> 管他有没有用
所以并不是出于安全考虑，就是为了『加』而『加』？

> 你用国外网站举例没意义，国外信用卡支付没密码是安全的，放国内基本不可能
公共网络的、任何人都可以进行调用的、处于公网环境的 HTTPS 接口，甚至有详细的文档。为什么他就『安全』呢？支付宝接口如果不用『签名』设计就『不安全』了？比如如果支付宝现在开始不用签名了，会导致什么问题呢？包括但不限于下单、退款、关闭订单、转账等接口，就直接像 stripe 一样 `curl -u $key https://api.alipay.com/api/transfer?to=xxx&amount=1000` 。

2021-04-13 18:54:39 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@newmlp 88

> Server 端到 Server 端。

同理，HOOK 也可以轻松拿到用于『签名模式』的签名密钥，so easy~

2021-04-13 18:47:53 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@ashuai 86

"有以上可能吗？如果有，这就是签名的意义"

没可能

2021-04-13 16:09:13 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@jhdxr

在思考这一点之前，先思考如何保证『签名模式』下对方一定也是 Server 端。

我的接口是为了 Server 端调用而设计，客户错误使用暴露出去，屏蔽 ClientID （调用凭证）即可

2021-04-13 15:44:50 +08:00

回复了 dzdh 创建的主题 › SSL › API 接口已经有 HTTPS 的前提下，为什么还需要签名机制？

@xuanbg 64

同理，如果客户端环境安全无法保证的前提下，怎么保证『签名模式』是安全的呢？