淘宝的 rest API 为什么还继续用 http，不用 https？

http 够用了为什么一定要用 https,API 本身自带 token,https 无非防止抓包截获,而一般人都不会去主动截获这种东西.

@wongnet 这个回复好没有道理，https 一般有两重保障，一个是保证数据的隐秘，不被第三方读取，一个是保证数据的完整不被篡改，二者都很重要。

@wongnet 淘宝全站 HTTPS 了那么供第三方用的 API 没有道理不用 TLS

@wongnet https 既保证了请求的防篡改，也保证了响应内容的防篡改。app key 只能保证请求的防篡改，响应内容上，完全可以被劫持篡改。

你要想想看，支付宝的接口，非但 https 通信，而且请求和响应都需要公私钥验签，不可能多此一举的。

@fzleee 所以呢？所以你就会唯加密论,就算不用 https 协议,在涉及到非核心业务的时候就必须要使用 https ？这几年有免费证书的方案出来用 https 的人多了起来,你是怕重传还是怕篡改？ api 设计成幂等性,防篡改可以使用混合时间戳的加密随机字符串验证身份,还怕加密算法是 js 的被解密了？那怎么不说 https 伪造证书照样可以截获明文.
如果问我为什么不设计成 https,我就告诉你 http 简单,不想用 https 你管的着吗？

淘宝就算不用 https 他的接口也够你爽一套的
这么大规模的应用我猜真的是有性能体验问题

做兼容吧，还有少数设备不支持 ssl 证书的呢

@wongnet https 里内嵌 http 资源，基本上 https 就废了，和 http 一样，懂了不，不是核心不核心的问题，如果还不懂，请自行谷歌

宽带运营商大都国企背景，一般也就劫持一些新闻网站弹广告赚钱，有能力劫持 /篡改 API 请求的，但这犯法又无利，没动机去干；鸡贼小公司入侵宽带就不容易页犯法，有动机没能力也没法干。就像 http ://www.gov.cn/ 一直 http，谁会去劫持呢，所以综合看起来，http 的效率确实比 https 高，就继续用了

@Discuss 政府网站也劫持过，后来加白名单了应该

@Discuss 有些政府站照样劫持贴广告啊 hhh

因为淘宝并不完美啊。

@wongnet 你转移话题了。
这个主题在评价某个 API 使用明文 HTTP，您呢则去贬低它人来试图谬误地显示你的正确。

https 比 http 多了证书加密验证过程，可能淘宝也有他的性能效率的考量，毕竟淘宝日接口请求量已经是个庞然大物了，再小的效率问题在淘宝那种大体量上面都会被无线放大吧

这显然不是一个性能问题，而是上 https
1，谁买证书？ gw.api.taobao.com 或者*.api.taobao.com
2，谁来上线证书？
没有人推动这个没 kpi 的事情，这么简单的问题被你们整这么复杂

https 是需要消耗服务器器性能的，现在有个东西叫 ssl 卸载

@honeycomb
谬误地显示我的正确?我只是从技术角度去分析,何时带有个人情感主义?

@majinjing3
我想要表达的是并不存在 HTTPS 就一定要得到广泛使用，也要分技术场合来选择，HTTPS 并不是银弹，没有必要用就不用罢了。
而你所述，和我说的内容有什么关系？烦请赐教。

lz 难道不知道

1.淘宝要求 isv 将涉及淘宝调用的服务器必须部署到聚石塔并且入御城河
2. 从去年开始, 对重要数据传输时已经加密而且必须通过 https://eco.taobao.com/router/rest 调用, 看清楚了

说白了，没被艹 过，被艹 过一次，不睡觉加班猝死也得改成 HTTPS