为什么阿里云等的API设计那么复杂啊？

Question

如果是服务端请求，直接拿到一个key请求不就好了吗？

Answer 1

要说恶心，还得是微信。论恶心，我只服微信。

Answer 2

因为就算是 HTTPS 请求也很有可能暴露请求，直接在参数里带上 key 的话，暴露请求就暴露 key 了，别人拿到 key 立刻就可以冒充你了。

采用参数签名的方法，就算暴露请求也没事，因为参数一改签名就失效了。这么做，黑客要想冒充你，必须要拿到你的文件权限。黑客工作难度呈指数级增长。

像聚合数据那样搞API，只有一个key，还不能改，其实非常弱智。

Answer 3

保护用户数据安全。之前尝试调用淘宝的接口，发现好多token,好多重定向，一点数据都拿不到，最后走淘宝开放平台的接口拿的数据。