开放出去给人用的 API，使用 HTTPS，并且打算使用 startssl，靠谱吗？

这 都 是 必 须 做 的 基 本 工 作

另外建议使用nginx做"API网关"

自签名的SSL不行么?

@chinalion 各种弹不信任，要多加代码不验证证书，可能会被中间人攻击
你以为你是12306

貌似一般都是靠https来保护……
有没有可能在http下，构建出即使被抓包也不会遭到用户身份盗用的restful api……

@imlonghao 用浏览器访问的？

@coolcfan 端对端加密，，，，

@chinalion 不是

@imlonghao 那好像可以用自签名证书

@chinalion 那你用https的初衷就没有了

startssl的免费证书不能用于商业目的

@imlonghao 自签名证书不是这么用的
应该是把自己的证书指纹加到代码里而不是不验证证书，理论上这样子更安全

@imlonghao 自签名证书难道不能加密么

@wy315700 写到代码里面，那证书过期了咋整。。。

@66450146
弄一个20年的证书，不怕过期。

@wy315700 服务器被入侵私钥被拿到了咋整？怎么 revoke？这些都解决以后其实还不如买别人的了

@66450146
依赖系统内置根证书就容易出现系统里被植入一个根证书以后就完蛋了

服务器毕竟是可控的，客户端是不可控的

额 也不贵吧 ，也就是9刀。如果还嫌贵就坑vmbox.co的3刀证书

这个 key 还是会泄露的，比如反编译客户端，或者中间人攻击嗅探 HTTPS

@chinalion
@imlonghao
不是用浏览器访问
用户curl命令访问的话，同样会验证证书的授权情况。但不排除某种访问方式会跳过验证过程。
我只是希望可以给用户简单安全地使用。如果用户不进行授权验证的话，就有可能受到中间人攻击。

@coolcfan
http下就要靠更复杂的机制来保证安全性了

@wy315700
你说得很有道理，但是这种方法会增加使用复杂性，得考虑一下。
本来有想过用类似公众号的授权方式，但是用户用起来会比较麻烦。


@smileawei
如果免费实在不靠谱的话，可以考虑收费的。


@finian
这个key提供给用户后，用户部署在他们自己的服务器

@qw7692336 用户是通过他们的服务器访问你们的 API 是么？如果是这样，你们的方案已经比较靠谱了

ip绑定