在HTTP协议下采用得是明文交互方式,即客户端与服务端之间截取请求/响应报文的话,都是可以清楚看到内容的。
当然通过内容加密手段(不是HTTPS)会使截取到信息无法查看到原文,但对于截取方来说这些就是原文来使用就行,如:登录时用户密码用MD5加密,只是无法知道原文,但不影响截取后知道此报文干吗用的,因为可以再次模拟请求来登录。
因此采用:MD5,签名,TOKEN 只要在明文HTTP下,都显得无力,其本质原因在于明文,可知要做什么事,参数是什么?只是不同的加密手段,会造成一些的限制,但不影响其再次模拟使用。