不用做 sign 吗?

你问的是哪头做签名，问题可以提的完整一些，谁签名，谁验证，做签名为了防止什么？不做会有什么问题？

@liyu001989 api接口接口，要是被抓包，就可以篡改其中的参数了

@jake_zou

1. 这是给客户端的接口，做签名没有意义；
2. 你家接口不用 https 的吗？

@liyu001989 其实https也可以抓包 :dizzy_face:
目前是客户端对整体参数做了一个签名，服务端去验证签名，签名不对直接抛错
我在论坛上只看到有一个包是 laravel-api-auth ，但是不太喜欢他的实现

@jake_zou

1. https 传输过程中可被抓包? 求你看看什么是 https，请你把抓包方式分享出来让大家学习一下。
2. 再重申一下，客户端做签名没有任何意义。

你觉得你的理论和观点特别正确，可以发帖详细说明一下，可以让大家讨论一下

@liyu001989 中间人攻击确实可以抓到 https 的包，只要攻击者在自己的设备里信任抓包服务器的签名根证书即可。

@jake_zou 如果接口因为用户自行修改了提交的参数，即用户提交了不合法的值而导致接口崩溃或者逻辑不正确，那问题在于接口本身的逻辑实现而非有没有对参数做签名。即使做了签名，攻击者也可以很容易找到签名的方法和参数。

@leo

我没表达清楚，他的观点是 “要是被抓包，就可以篡改其中的参数了”

想要抓包，得你的设备自身先信任了某个证书，这样中间人才能参与进来。作为一个正常的用户，网络传输过程中无法抓包，无法篡改

@liyu001989
@leo
确实可以抓包的，用这个

而且我亲手抓了很多知名平台的https的包，需要在手机端额外安装一个证书。

篡改参数和接口后台逻辑是两回事，譬如将A商品加入购物车，只要抓到这个包就可以修改成加任意商品加入购物车，只要拿到商品的id，我只是随便举个例子

@jake_zou

你的逻辑是
抓包工具可以抓取 https 数据=》https 数据可以被篡改=》https 并不安全可被中间人攻击=》所以客户端与接口的通信必须增加签名？

我觉得我还是发个帖子吧，我们来讨论一下

@jake_zou 欢迎讨论

博客：抓包工具能获取 https 数据，所以 https 并不安全？