纠结这个问题好久了。 待完整补充。。。。
- 在公网上 可以大致保证数据不被篡改,但是数据仍然可能被窃听,但是除非重要数据 否则不需要加密
- https 防的是传输过程中的攻击,json 加密防的是来自本地用户的攻击(做外挂,作弊)根据自己的需求来综合考虑
- TLS 同时保证数据的完整性和保密性,只要信任链是正常的就没问题。攻击者只能获取你访问的 IP 和域名以及传输的密文。
- 客户端能拿到的数据,攻击者就能拿到。就看你的数据值不值得攻击者花费时间精力金钱去拿了。
- 没有绝对的安全,要不要上只是根据自己的实际情况选择。 说白了,我回答不用,你就决定不用了?那出问题要不要我背锅啊、
- 一般不需要,除非有很重要的保密信息。不过有这种信息的一般也不会是谁都能看到的,本身的传播源就是可控的。
至于抓包,那是没办法的事,用户本地抓包、反编译,你也不好管控。
防范中间人攻击,那只要用户本身系统没有问题,你们服务器也没有问题,那就不存在问题。
如果真的有很特别的需求,那你自己再加一层简单的加密也行,但不要报太大希望,这个只能是增加破解成本罢了。
总的来说,如果没有特别需要,没必要。
推荐阅读文章 和 相关的评论 https://v2ex.com/t/681294