我有一个移动应用程序,它将通过https与我的网络服务器进行通信。我的问题是,我是否需要担心安装证书,因为这个api的所有流量都将是无头的?
据我了解,SSL为请求提供加密,证书为最终用户建立信任。因为这些对我的网络服务器的调用基本上是无头的,所以我认为我不需要担心信任的建立。
我在这个想法中是否正确?
答案 0 :(得分:3)
您需要 self-signed certificate 或 CA-signed certificate 才能在服务器上使用HTTPS。
如果您的证书未由证书颁发机构分配给您,那么您所做的任何连接都将trigger an error in your URLRequest that you will have to handle。不受信任证书的问题是a malicious man-in-the-middle可能使用自己的自签名证书伪造数据进出服务器,并可能获取他无法访问的身份验证凭据或数据。
如果您正在处理任何身份验证凭据或其他私人数据,我建议您只申请签名证书。如果您到处购物,您可以找到价格低廉的签名证书,每年10-20美元,这对保护您的用户来说是一项微不足道的费用。
但是,如果这只是一个个人项目(您唯一需要担心的数据是您的),或者您要发送的任何数据都是免费提供的,则可以使用自签名证书够了。