共 (2) 个答案

1. # 1 楼答案

   这看起来有点过分，但我不会完全拒绝

   根据您的应用程序、您的安全问题以及您所处的环境，在传输数据之前对数据进行加密的这一额外的“安全层”可能会有回报。可能是因为数据不可信（第三方应用程序），可能是因为简单的数据隐私原因（法律），接收端不应该看到数据并将其重新路由到其他地方

   我不知道AES是否是一个好的解决方案，我会选择RSA。。但这是另一个故事

2. # 2 楼答案

   这太过分了。如果您正确配置了服务器并知道如何管理证书，则只需SSL连接即可。添加另一层加密（您没有描述它，所以我假设它是另一个SSL克隆）当然不会有什么害处，但您必须仔细设计和实现它

   它不常见的原因是，您需要在客户端和服务器上实现协议，这不是一件容易的事。假设如果你不能保证SSL的安全，你就不应该完全实现一个专有协议

   另外，请注意，只有在连接之前部署本机客户端（您标记为“iOS”，所以我指的是本机C/Objective-C实现）时，自定义协议才有意义：传输Javascript客户端（您也提到了HTTP，所以我猜它是标准的www应用程序）是没有用的，因为如果攻击者可以破坏SSL，它肯定可以操纵Javascript，此时您的协议不再安全