V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iConnect
V2EX  ›  程序员

淘宝的 rest API 为什么还继续用 http,不用 https?

  •  
  •   iConnect · 2018-03-24 07:31:38 +08:00 via iPhone · 6864 次点击
    这是一个创建于 2436 天前的主题,其中的信息可能已经有所发展或是发生改变。
    像这样的 API 都是 sdk 走 http,为什么还不起用 https ?
    http://gw.api.taobao.com/router/rest
    20 条回复    2018-03-25 06:25:53 +08:00
    wongnet
        1
    wongnet  
       2018-03-24 08:43:28 +08:00 via Android
    http 够用了为什么一定要用 https,API 本身自带 token,https 无非防止抓包截获,而一般人都不会去主动截获这种东西.
    fzleee
        2
    fzleee  
       2018-03-24 08:59:34 +08:00 via iPhone
    @wongnet 这个回复好没有道理,https 一般有两重保障,一个是保证数据的隐秘,不被第三方读取,一个是保证数据的完整不被篡改,二者都很重要。
    honeycomb
        3
    honeycomb  
       2018-03-24 09:08:52 +08:00 via Android
    @wongnet 淘宝全站 HTTPS 了那么供第三方用的 API 没有道理不用 TLS
    moult
        4
    moult  
       2018-03-24 09:12:54 +08:00 via iPhone
    @wongnet https 既保证了请求的防篡改,也保证了响应内容的防篡改。app key 只能保证请求的防篡改,响应内容上,完全可以被劫持篡改。

    你要想想看,支付宝的接口,非但 https 通信,而且请求和响应都需要公私钥验签,不可能多此一举的。
    wongnet
        5
    wongnet  
       2018-03-24 09:17:28 +08:00 via Android
    @fzleee 所以呢?所以你就会唯加密论,就算不用 https 协议,在涉及到非核心业务的时候就必须要使用 https ?这几年有免费证书的方案出来用 https 的人多了起来,你是怕重传还是怕篡改? api 设计成幂等性,防篡改可以使用混合时间戳的加密随机字符串验证身份,还怕加密算法是 js 的被解密了?那怎么不说 https 伪造证书照样可以截获明文.
    如果问我为什么不设计成 https,我就告诉你 http 简单,不想用 https 你管的着吗?
    murmur
        6
    murmur  
       2018-03-24 09:29:42 +08:00
    淘宝就算不用 https 他的接口也够你爽一套的
    这么大规模的应用我猜真的是有性能体验问题
    TestSmirk
        7
    TestSmirk  
       2018-03-24 09:52:50 +08:00 via Android
    做兼容吧,还有少数设备不支持 ssl 证书的呢
    majinjing3
        8
    majinjing3  
       2018-03-24 09:54:25 +08:00 via Android
    @wongnet https 里内嵌 http 资源,基本上 https 就废了,和 http 一样,懂了不,不是核心不核心的问题,如果还不懂,请自行谷歌
    Discuss
        9
    Discuss  
       2018-03-24 09:56:24 +08:00
    宽带运营商大都国企背景,一般也就劫持一些新闻网站弹广告赚钱,有能力劫持 /篡改 API 请求的,但这犯法又无利,没动机去干;鸡贼小公司入侵宽带就不容易页犯法,有动机没能力也没法干。就像 http ://www.gov.cn/ 一直 http,谁会去劫持呢,所以综合看起来,http 的效率确实比 https 高,就继续用了
    winterbells
        10
    winterbells  
       2018-03-24 10:11:43 +08:00 via Android
    @Discuss 政府网站也劫持过,后来加白名单了应该
    scnace
        11
    scnace  
       2018-03-24 10:46:16 +08:00 via Android
    @Discuss 有些政府站照样劫持贴广告啊 hhh
    gen900
        12
    gen900  
       2018-03-24 13:41:09 +08:00 via iPhone
    因为淘宝并不完美啊。
    honeycomb
        13
    honeycomb  
       2018-03-24 13:58:39 +08:00 via Android
    @wongnet 你转移话题了。
    这个主题在评价某个 API 使用明文 HTTP,您呢则去贬低它人来试图谬误地显示你的正确。
    MeteorCat
        14
    MeteorCat  
       2018-03-24 14:35:05 +08:00 via Android
    https 比 http 多了证书加密验证过程,可能淘宝也有他的性能效率的考量,毕竟淘宝日接口请求量已经是个庞然大物了,再小的效率问题在淘宝那种大体量上面都会被无线放大吧
    salmon5
        15
    salmon5  
       2018-03-24 14:56:33 +08:00   ❤️ 1
    这显然不是一个性能问题,而是上 https
    1,谁买证书? gw.api.taobao.com 或者*.api.taobao.com
    2,谁来上线证书?
    没有人推动这个没 kpi 的事情,这么简单的问题被你们整这么复杂
    yingfengi
        16
    yingfengi  
       2018-03-24 15:17:56 +08:00
    https 是需要消耗服务器器性能的,现在有个东西叫 ssl 卸载
    wongnet
        17
    wongnet  
       2018-03-24 15:23:11 +08:00
    @honeycomb
    谬误地显示我的正确?我只是从技术角度去分析,何时带有个人情感主义?
    wongnet
        18
    wongnet  
       2018-03-24 15:27:47 +08:00   ❤️ 1
    @majinjing3
    我想要表达的是并不存在 HTTPS 就一定要得到广泛使用,也要分技术场合来选择,HTTPS 并不是银弹,没有必要用就不用罢了。
    而你所述,和我说的内容有什么关系?烦请赐教。
    jjx
        19
    jjx  
       2018-03-24 16:05:04 +08:00   ❤️ 1
    lz 难道不知道

    1.淘宝要求 isv 将涉及淘宝调用的服务器必须部署到聚石塔并且入御城河
    2. 从去年开始, 对重要数据传输时已经加密而且必须通过 https://eco.taobao.com/router/rest 调用, 看清楚了
    hoyixi
        20
    hoyixi  
       2018-03-25 06:25:53 +08:00
    说白了,没被艹 过,被艹 过一次,不睡觉加班猝死也得改成 HTTPS
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   952 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:43 · PVG 04:43 · LAX 12:43 · JFK 15:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.