在我们的应用中,我们通过HTTPS网络与后端进行通信。我的困惑是,使用加密有什么好处。
编辑:通过使用加密,我想使用AES加密通过已经安全的网络发送请求。因此,如果在已经安全的连接上使用AES加密是非常奢侈的话,我感到很困惑。
答案 0 :(得分:4)
这太过分了。如果正确配置服务器并知道如何管理证书,则只需要SSL连接即可。添加另一层加密(你没有描述它,所以我认为它是另一个SSL克隆)肯定不会有害,但你必须仔细设计和实现它。
之所以不常见,是因为您需要在客户端和服务器上实现协议,这不是一点点努力。如果你不能保证SSL安全,那么你就不应该完全实现专有协议。
另请注意,自定义协议仅在部署原生客户端(您标记为“iOS”,因此我指的是本机C / Objective-C实现)之前才有意义< / strong>连接:有一个Javascript客户端(你也提到HTTP,所以我猜它是一个标准的www应用程序)传输是没用的,因为如果攻击者可以破解SSL,它肯定可以操纵Javascript,此时你的协议是不再安全了。
答案 1 :(得分:2)
看起来有点过分,但我不会直截了当地说。
根据您的应用程序,您的安全问题以及您正在使用的环境,这个额外的“安全层”,可以在传输之前对您的数据进行加密,这可能会带来回报。也许接收端不应该能够看到数据并在其他地方重新路由它们,可能是因为它不值得信任(第三方应用程序),也许是简单的数据隐私原因(合法)。
我不知道AES是否是一个很好的解决方案,我会选择RSA ..但那是另一个故事。