在 HTTPS 时代对请求进行签名是否还有必要?

查看 149|回复 11
作者:cheetah   
今天看到百川大模型的接口文档 https://platform.baichuan-ai.com/docs/api 中要求对请求内容和时间戳进行签名,想到前几天在 V2EX 看到的帖子吐槽腾讯大模型 API 的签名( https:///t/975832 )。
而我们去看 OpenAI 等公司提供的 API ,是不需要这种签名的。
所以想讨论一下,在 HTTPS 时代这种签名是否还有必要?还是一种思维惯性?
我的理解:在 HTTPS 之前,这样的签名可以有效防止请求内容被篡改,是很有必要的,但现在 HTTPS 普及了,这里的好处并不存在了。另一点是重放攻击,我了解不多,请懂的朋友讲讲。

签名, 必要, 请求, openai

wudaye   
好问题。我能想到的一点是,万一被侵入内网了呢
julyclyde   
双向证书 https 的话,我觉得不需要
momocraft   
刻舟求剑
ospider   
惯性思维,鉴定完毕。现在签名唯一的作用是反爬,自己提供的 API 还签名,纯属脱裤子放屁
cheetah
OP
  
@ospider 签名对反爬没帮助吧?
ospider   
@cheetah #5 当然有了,一个经过充分混淆的签名算法,至少能拦下一大批脚本小子
cheetah
OP
  
@ospider 哦这个意思,不是 public API ,明白了
1423   
apikey 是与预共享的
非对称可以避免抵赖
cheetah
OP
  
@1423 “与预共享”是什么意思
您需要登录后才可以回帖 登录 | 立即注册

返回顶部