简介
您好,
我是那个知道如何使用api的典型程序员,但往往意识到我应该更多地了解使用api,提高我的肩膀并继续使用我所知道的。
我知道如何对api进行故障排除(即使我讨厌这样做)而且我知道大多数时候,如果其他人喜欢发送他们的数据,那么大量验证发送到我自己的api的数据是一个非常好的主意。自己的价值而非预期。
问题
我做的一件事无法理解,为什么认为有必要在2个站点之间的api呼叫上使用SSL / https?例如;我的网站在另一个网站上的api卷曲。在这两个站点的呼叫之间没有用户或浏览器。
也许我错过了网络练习中的一些常见规则,但在这样的情况下,哪个中间人可以联系发送信息?
我了解恶意软件可以在您通过浏览器发送时收集您的个人数据。
问题基本;为什么在呼叫时没有私人用户直接调用的情况下需要SSL?
额外的想法
如果我错过了关于api的一些非常重要的信息,请告诉我。
谢谢你的时间!
答案 0 :(得分:1)
浏览器/用户不必直接参与嗅探网络数据包。在Web服务器上使用cURL与在家用计算机上使用浏览器相同,除了请求来自不同的计算机/网络并且没有GUI。有人仍然可以在执行cURL(客户端)的计算机和API所在的服务器(服务器)之间的某处进行侦听。
最好为API调用要求SSL,因为API通常需要一个允许访问API的密钥。如果此请求以纯文本形式发送,则任何在服务器和客户端之间嗅探数据包的人都可以看到此API密钥并开始使用它。另一方面,如果API请求是通过SSL设置的,那么它将被加密并且更难以弄清楚。