仅适用于 API 访问的 ssl 和证书问题

Question

我有一个移动应用程序将通过 https 与我的网络服务器进行通信。我的问题是，我是否需要担心安装证书，因为该 api 的所有流量都是无头的？

据我了解，SSL 为请求提供加密，证书为最终用户建立信任。因为这些对我的网络服务器的调用本质上是无头的，所以我想我不需要担心信任的建立。

我的这个想法正确吗？

Answer 1

您需要一个自签名证书或CA 签名证书以便使用HTTPS 在您的服务器上。

如果您的证书不是由证书颁发机构分配给您的，那么您进行的任何连接都将 在您必须处理的 URLRequest 中触发错误。不受信任的证书的问题在于恶意中间人< /a> 可以使用他自己的自签名证书在您的服务器之间伪造数据，并可能获取他不应该访问的身份验证凭据或数据。

如果您正在处理任何身份验证凭据或其他私人数据，我建议您仅请求签名证书。如果您货比三家，您可以找到每年 10-20 美元的廉价签名证书，这对于保护您的用户来说是一笔微不足道的成本。

但是，如果这只是一个个人项目（您唯一需要担心的数据是您的），或者您将发送的任何数据都是免费可用的，则自签名证书可能就足够了。