Encryption 如果I'；我在使用SSL吗？

我最近偶然发现了一篇关于保护Web API端点的文章

---

如果我使用的是SSL，那么对标头中的用户字符串进行加密有什么好处吗？如果我将用户密钥（Id）作为明文而不是密文包含，会有什么风险？

TLS是传输级安全性。即，在数据到达传输之前和之后，TLS不保护数据。如果您的数据是长期的，并且/或者您在传输会话期间除了使用之外还将其保存在其他地方，那么对其进行加密（然后在可能的情况下对其进行加密传输）可能是有意义的。如果您的数据生命周期很短，并且数据仅在传输会话期间才有意义，那么除了TLS之外，加密数据没有多大意义

本文作者基本上是将用户标识符和用户秘密的概念结合到一个加密令牌中。如果选择以明文形式发送用户标识符，则该用户标识符必须保密（就像令牌必须保密一样）。只要保密，使用代币就没有好处

---

请注意，该系统看起来并不像所示的那样非常安全。如果攻击者能够猜出有效的用户标识符，则可以生成有效的令牌。作者基本上使用RSA作为美化的哈希函数。我建议你再找一份参考资料。

你对其他参考资料有什么建议吗？我不会想发明任何东西。如果我在做一些简单的事情，我只需要使用（仅通过HTTPS）进行身份验证。对于更复杂的东西，我可能会使用。您还可以看到，尽管如果总是使用SSL/TLS，这是一种过分的做法。